Dicionário do Active Directory – Termos e conceitos que todo administrador precisa conhecer

Shape Image One
Dicionário do Active Directory – Termos e conceitos que todo administrador precisa conhecer

Salve galera! Wellington Agápto por aqui. Esta semana encontrei um artigo em inglês do Robert Allen que achei incrível. Logo achei que seria de grande valia fazer uma tradução direta e trazê-lo aqui pra vocês. Nesta postagem, vou listar e explicar as terminologias mais usadas no Active Directory com este dicionário do Active Directory – Termos e conceitos que todo administrador precisa conhecer.
 

Noções básicas do Active Directory

Estes são os termos básicos com os quais você deve se familiarizar ao administrar um ambiente de Active Directory. 
 

Active Directory

O Active Directory é um serviço de diretório que centraliza o gerenciamento de usuários, computadores e outros objetos em uma rede. Sua principal função é autenticar e autorizar usuários e computadores em um domínio do Windows. Por exemplo, quando um usuário entra em um computador no domínio, ele verifica o nome de usuário e a senha que foram enviados para verificar a conta. Se for um nome de usuário e senha válidos, o usuário será autenticado e conectado ao computador. 
Não se confunda com os três termos a seguir, todos eles se referem ao Active Directory. 

  • AD – Esta é apenas uma abreviação de Active Directory
  • AD DS – Este é um servidor que está executando a função de Serviços de Domínio Active Directory
  • Controlador de domínio – também é um servidor executando a função de serviço de domínio do Active Directory. É recomendável ter vários controladores de domínio por motivos de failover. 
 

Serviços Web do Active Directory (ADWS)
Este serviço foi introduzido no Windows Server 2008 R2. Ele é instalado automaticamente com a função ADDS ou ADLDS e está configurado para ser executado automaticamente. Este serviço fornece gerenciamento remoto de qualquer serviço de diretório local.

 

Domínio

O domínio é uma estrutura lógica de contêineres e objetos no Active Directory. Um domínio contém os seguintes componentes: 

  • Uma estrutura hierárquica para usuários, grupos, computadores e outros objetos
  • Serviços de segurança que fornecem autenticação e autorização a recursos no domínio e em outros domínios
  • Políticas aplicadas a usuários e computadores
  • Um nome DNS para identificar o domínio. Quando você faz login em um computador que faz parte de um domínio, está fazendo login no nome de domínio DNS. Meu domínio DNS é ad.activedirectory.local, é assim que meu domínio é identificado. 

 

Árvore de domínio

Ao adicionar um domínio filho a um domínio pai, você cria o que é chamado de árvore de domínio. Uma árvore de domínio é apenas uma série de domínios conectados de maneira hierárquica, todos usando o mesmo espaço para nome DNS. Se activedirectory.com adicionasse um domínio chamado training ou videos, ele seria denominado training.activedirectory.com e videos.activedirectory.com. Esses domínios fazem parte da mesma árvore de domínio e uma confiança é criada automaticamente entre os domínios pai e filho. Dicionário do Active Directory – Termos e conceitos.
 

Níveis Funcionais
Os níveis funcionais determinam quais recursos estão disponíveis no domínio. Níveis funcionais mais altos permitem que você use as melhores e mais recentes tecnologias em seu domínio do Active Directory. Quando possível, use os níveis funcionais mais altos para seus controladores de domínio. 
 

Floresta

Uma floresta é uma coleção de árvores de domínio. A árvore de domínio compartilha um esquema comum e um contêiner de configuração. A árvore do domínio é conectada por meio de uma confiança transitiva. Quando você instala o Active Directory pela primeira vez e cria um domínio, também cria uma floresta. 
 

FQDN – nome de domínio totalmente qualificado
Nome de domínio totalmente qualificado é o nome do host + o domínio, por exemplo, meu domínio é ad.activedirectory.com, um computador no domínio com o nome do host PC1, portanto o FQDN seria pc1.ad.activedirectory.com

 

FSMO

Um controlador de domínio possui várias funções chamadas de funções FSMO. Essas funções estão todas instaladas no primeiro controlador de domínio em uma nova floresta. Você pode mover funções por vários controladores de domínio para ajudar no desempenho e no failover.

  • Mestre de esquema – O mestre de esquema é uma função de toda a floresta que lida com todas as alterações no esquema do Active Directory. 
  • Mestre de Nomeação de Domínio – Essa é uma função de toda a floresta que é o mestre dos nomes de domínio. Ele lida com o espaço para nome e adicionando a remoção de nomes de domínio. 
  • Emulador de PDC – Essa função lida com alterações de senha, bloqueios de usuário, diretiva de grupo e é o servidor de horário dos clientes. 
  • Mestre do RID – Esta função é responsável pelo processamento de solicitações de pool RID de todos os controladores de domínio do domínio. Quando objetos como usuários e computadores são criados, eles recebem um SID exclusivo e um ID relativo (RID). A função principal do RID garante que os objetos não recebam o mesmo SID e RIDs. 
  • Mestre de infraestrutura – Essa é uma função de domínio amplo usada para fazer referência a objetos em outros domínios. Se os usuários do Domínio A forem membros de um grupo de segurança no Domínio B, a função principal de infraestrutura será usada para referenciar as contas no domínio correto. 

 

Objetos

Ao trabalhar com o Active Directory, você trabalhará principalmente com objetos. Objetos são definidos como um grupo de atributos que representam um recurso no domínio. A esses objetos é atribuído um identificador de segurança exclusivo (SID) usado para conceder ou negar o acesso ao objeto para recursos no domínio. Os tipos de objetos padrão criados em um novo domínio no Active Directory são:

  • Unidade organizacional (OU) – Uma OU é um objeto de contêiner que pode conter objetos diferentes do mesmo domínio. Você usará OUs para armazenar e organizar contas de usuário, contatos, computadores e grupos. Você também vinculará objetos de diretiva de grupo a uma OU. 
  • Usuários – as contas de usuário são atribuídas principalmente aos usuários para obter acesso aos recursos do domínio. Eles também podem ser usados ​​para executar programas ou serviços do sistema. 
  • Computador – simplesmente é um computador que ingressou no domínio.
  • Grupos – existem dois tipos de objetos, um grupo de segurança e um grupo de distribuição. Um grupo de segurança é um agrupamento de contas de usuários que podem ser usadas para fornecer acesso aos recursos. Grupos de distribuição são usados ​​para listas de distribuição de email. 
  • Contatos – Um contato é usado para fins de email. Você não pode fazer logon no domínio como um contato e ele não pode ser usado para proteger permissões. 
  • Pasta compartilhada – Quando você publica uma pasta compartilhada no Active Directory, ele cria um objeto. A publicação de pastas compartilhadas no AD facilita a localização de arquivos e pastas compartilhados no domínio. 
  • Compartilhar impressora – Assim como as pastas compartilhadas, você pode publicar impressoras no Active Directory. Isso também facilita para os usuários encontrar e usar impressoras no domínio. 

 

LDAP (Lightweight Directory Access Protocol)
LDAP é um protocolo de plataforma aberta usado para acessar serviços de diretório. O LDAP fornece o mecanismo de comunicação para aplicativos e outros sistemas para interagir com servidores de diretório. Em termos simples, o LDAP é uma maneira de conectar e se comunicar com o Active Directory. Dicionário do Active Directory – Termos e conceitos.
 

Catálogo Global (GC)

O servidor de catálogo global contém uma réplica completa de todos os objetos e é usado para executar pesquisas em toda a floresta. Por padrão, o primeiro controlador de domínio em um domínio é designado como servidor do GC, é recomendável ter pelo menos um servidor do GC para cada site para melhorar o desempenho.  
 

Mecanismo de banco de dados Jet

O banco de dados do Active Directory é baseado no mecanismo Jet Blue da Microsoft e utiliza o ESE (Extensible Storage Engine) para trabalhar com os dados. O banco de dados é um único arquivo chamado ntds.dit; por padrão, ele é armazenado na pasta% SYSTEMROOT% \ NTDS e em cada controlador de domínio. Dicionário do Active Directory – Termos e conceitos.
 

Recycle Bin

A lixeira do Active Directory permite que os administradores recuperem facilmente itens excluídos. Por padrão, isso não está ativado. 
 

Controlador de domínio somente leitura (RODC)

Os servidores RODC mantêm uma cópia somente leitura do banco de dados do Active Directory e não permitem alterações no AD. Seu principal objetivo é para filiais e locais com baixa segurança física. 
 

Esquema

O esquema do Active Directory define todas as classes de objetos que podem ser criadas e usadas em uma floresta do Active Directory. Ele também define todos os atributos que podem existir em um objeto. Em outras palavras, é um modelo de como os dados podem ser armazenados no Active Directory. Por exemplo, uma conta de usuário é uma instância da classe de usuário, ela usa atributos para armazenar e fornecer informações sobre esse objeto. Uma conta de computador é outra instância de uma classe que também é definida por seus atributos. 
Existem muitas classes e atributos, a menos que você esteja programando ou resolvendo algum problema avançado, não é necessário saber tudo sobre o esquema. 
 

SYSVOL

O sysvol é uma pasta muito importante compartilhada em cada controlador de domínio. O local padrão é% SYSTEMROOT% \ SYSVOL \ sysvol e é composto do seguinte: 

  • Objetos de Diretiva de Grupo
  • Pastas
  • Scripts
  • Pontos de junção

 

Tombstone

A marca de exclusão é um objeto excluído do AD que não foi removido do banco de dados; o objeto tecnicamente permanece no banco de dados por um período de tempo. Durante esse período, o objeto pode ser restaurado. 
 

Atributos do nome do objeto

A seguir, estão alguns atributos importantes com os quais você deve se familiarizar ao trabalhar com o Active Directory. 

  • userPrincipalName (UPN) – Esse é um nome de logon comum que está no formato de um endereço de email. Um UPN se parece com isso, robert@ad.activedirectorypro.com, um UPN pode ser usado para fazer login em um domínio do Windows. 
  • objectGUID – Este atributo é usado para identificar exclusivamente uma conta de usuário. Mesmo se a conta for renomeada ou movida, o objectGUID nunca será alterado. 
  • sAmAccountName – este atributo é usuário para logons de contas em um domínio. Era o principal meio de fazer logon em um domínio para versões mais antigas do Windows, ainda pode ser usado em versões modernas do Windows. 
  • objectSID – Este atributo é o identificador de segurança (SID) do usuário. O SID é usado pelo servidor para identificar um usuário e sua associação ao grupo para autorizar o acesso dos usuários aos recursos do domínio. 
  • sIDHistory – Este atributo contém SIDs anteriores para o objeto de usuário. Isso é necessário apenas se um usuário mudou para outro domínio. 
  • Nome distinto relativo (RDN) – O RDN é o primeiro componente do nome distinto. É o nome do objeto no Active Directory em relação à sua localização na estrutura hierárquica do AD
  • Nome Distinto (DN) – O atributo DN localiza objetos no diretório. Esse atributo é comumente usado por serviços e aplicativos para localizar objetos no Active Directory. um DN é composto dos seguintes componentes: 
    • CN – nome comum
    • OU – unidade organizacional
    • DC – componente de domínio

 

Grupos

Os grupos são usados ​​para coletar contas de usuários, computadores e objetos de contato em unidades de gerenciamento. A criação de grupos facilita o controle de permissões para recursos e a atribuição de recursos, como impressoras e pastas. Existem dois tipos de grupos

  • Distribuição – Grupos de distribuição são usados ​​por aplicativos de email para enviar facilmente um email a um grupo de usuários. 
  • Segurança – Grupos de segurança são um grupo de contas que podem ser usadas para atribuir facilmente a um recurso ou solicitar permissões. Por exemplo, se eu quisesse bloquear uma pasta para o departamento de RH, basta colocar todos os funcionários em um grupo de segurança e aplicar o grupo à pasta em vez de todas as contas individuais. 

 

Escopo do grupo

O escopo do grupo identifica se o grupo pode ser aplicado no domínio ou floresta. Aqui estão os três escopos do grupo:

  • Universal – pode conter objetos de outros grupos universais e qualquer domínio na árvore ou floresta. 
  • Global – Pode conter objetos do domínio e ser usado em qualquer árvore ou floresta de domínio. 
  • Local do domínio – pode conter objetos de qualquer domínio, mas só pode ser aplicado ao domínio em que foi criado. 

 

Serviços de Certificados do Active Directory (AD CS)

Essa é uma função de servidor que permite criar uma infraestrutura de chave pública (PKI) e fornecer certificados digitais para sua organização. Os certificados podem ser usados ​​para criptografar o tráfego de rede, o tráfego de aplicativos e usados ​​para autenticar usuários e computadores. Quando você vê https em um endereço de navegador, significa que está usando um certificado para criptografar a comunicação do cliente para o servidor. Dicionário do Active Directory – Termos e conceitos.
 

Serviços de Federação do Active Directory (AD FS)
O serviço de federação permite logon único em sistemas externos, como sites e aplicativos. O Office 365 é um uso comum para serviços de federação. Quando você entra no office 365, o nome de usuário e a senha são redirecionados através do servidor de federação e as credenciais são verificadas no Active Directory local. Portanto, isso permite que você forneça autenticação a sistemas externos usando o Active Directory local para autenticar o nome de usuário e a senha. 

 

Serviços de Diretório Leve do Active Directory (AD LDS)
Este serviço fornece serviços de diretório usando o protocolo LDAP sem a necessidade de implantar controladores de domínio. Isso é usado principalmente para fornecer serviço de diretório funcionalmente para aplicativos habilitados para diretório. Isso não substitui o AD DS.
 

Serviços de Gerenciamento de Direitos do Active Directory (AD RMS)
Este serviço fornece métodos para proteger informações sobre conteúdo digital. Ele protege os documentos, definindo quem pode abrir, modificar, imprimir, encaminhar ou executar outras ações nos documentos. Você também pode usar certificados para criptografar documentos para melhorar a segurança. 
 

DNS do Active Directory

O Domain Name System é um serviço que fornece resolução de nomes, mais comumente nome de host para resolução de endereço IP. Nesta seção, você aprenderá sobre alguns dos componentes importantes do DNS. 

 

Registros de Recursos – Dicionário do Active Directory – Termos e conceitos.

Um registro de recurso é uma entrada no sistema DNS que ajuda a localizar recursos com base em IP ou em um nome de domínio. Existem muitos tipos de registros de recursos, abaixo está uma lista de tipos de registros comuns: 

  • A – mapeia um nome de host para um endereço IPv4
  • AAAA – mapeia um nome de host para um endereço IPv6
  • CNAME – mapeia um alias para um nome de host
  • MX – Usado para localizar um servidor de email
  • NS – Especifica um servidor de nomes para um domínio
  • PTR – mapeia um endereço IPv4 para um nome de host. O reverso de um registro A. 
  • SOA – Contém informações administrativas
  • SRV – Usado para localizar servidores que hospedam serviços específicos 
  • TXT – Pode conter vários dados. Geralmente usado para verificar domínios e motivos de segurança. 
 

DNS dinâmico (DDNS) 

O DNS dinâmico é um método para os clientes registrarem e atualizarem dinamicamente seus registros de recursos com um servidor DNS. Isso permite que os clientes que usam o DHCP atualizem automaticamente seu registro DNS quando o endereço IP for alterado. 

 

Nome de anfitrião
Geralmente, esse é o registro DNS A, o nome DNS de um dispositivo que pode ser comunicado. Por exemplo, um servidor com o nome do DC1. Se o DC1 estivesse registrado no DNS, você se referiria a ele como o nome do host. 

 

Zonas
Uma zona é usada para hospedar os registros DNS de um domínio específico. O tipo de zona mais importante e comumente usado são as zonas integradas ao Active Directory. Existem várias outras zonas com as quais você deve se familiarizar . Abordo as outras zonas no meu artigo, Windows DNZ ​​Zones Explained. Dicionário do Active Directory – Termos e conceitos.
 

 

Envelhecimento e eliminação de DNS

Esse é um recurso que pode ser ativado para ajudar a automatizar a limpeza de registros DNS antigos. 
 

Registros SRV usados ​​pelo Active Directory

Em um domínio do Windows, os registros SRV são usados ​​pelos clientes para localizar controladores de domínio para o Active Directory. Quando você instala o serviço AD DS, o processo cria automaticamente os registros SRV para o Active Directory. 

  • O Active Directory cria seus registros SRV nas seguintes pastas, onde Domain_Name é o nome do seu domínio:
    • Zonas de pesquisa direta / Domain_Name / _msdcs / dc / _sites / Default-First-Site-Name / _tcp Zonas de pesquisa direta / Domain_Name / _msdcs / dc / _tcp

 

Encaminhadores 

Os encaminhadores de DNS são servidores que resolvem nomes de host que o servidor DNS interno não pode resolver, principalmente domínios externos, como navegação na Internet. Você pode configurar o encaminhamento de solicitações de DNS para qualquer servidor de sua escolha, muitas vezes um ISP é usado. 
 

Dicas de raiz

O servidor de dica raiz é outro método para resolver nomes de host que seu servidor interno não pode resolver. A diferença é que esses servidores servem como a zona DNS raiz da Internet. Eles são gerenciados por vários grandes organizados para segurança e redundância. Você pode usar dicas de raiz ou encaminhamentos para resolver nomes externos.
 

Replicação do Active Directory

Replicação é o processo que garante que as alterações feitas em um controlador de domínio sejam replicadas para outros controladores de domínio no domínio. 
 

Objetos de conexão

O objeto de conexão especifica quais controladores de domínio replicam entre si, com que frequência e seus contextos de nomenclatura. 
 

KCC

O Knowledge Consistency Checker (KCC) é um processo que é executado em todos os controladores de domínio e gera uma topologia de replicação baseada nos sites, sub-redes e objetos de link do site. 
 

Sub-redes

Uma sub-rede é uma parte lógica de uma rede IP. As sub-redes são usadas para agrupar dispositivos em uma rede específica, geralmente por local, prédio ou andar. Se você possui um ambiente multissite, o Active Directory precisa conhecer suas sub-redes para identificar adequadamente os recursos mais eficientes. Se essas informações não forem fornecidas, os clientes poderão autenticar e usar o controlador de domínio errado. Dicionário do Active Directory – Termos e conceitos.
 

Local

Um site é uma coleção de sub-redes. Os sites do Active Directory ajudam a definir o fluxo de replicação e o local do recurso para clientes como um controlador de domínio. 
 

Link do site

Os links do site permitem configurar quais sites estão conectados entre si.
 

Ponte do site Bridge

Uma ponte de link de site é uma conexão lógica entre sites. É um método para representar logicamente a conectividade transitiva entre sites. 
 

Topologia do site

A topologia do site é um mapa que define a conectividade de rede para replicação e o local dos recursos na floresta do Active Directory. A topologia do site é consistente com vários componentes, incluindo sites, sub-redes, links de sites, pontes de links de sites e objetos de conexão. 
 

Replicação intra-site

Isso é replicação que ocorre entre controladores de domínio no mesmo site. 
 

Replicação entre sites

Em um ambiente com vários sites, uma alteração em um site precisa ser replicada no outro site. Isso é chamado de replicação entre sites. Dicionário do Active Directory – Termos e conceitos.

Kerberos

O Kerberos é um protocolo de segurança que permite aos usuários provar com segurança sua identidade e obter acesso aos recursos do domínio. 
 

Centro de Distribuição de Chaves (KDC)

O KDC é um serviço executado em controladores de domínio e fornece tickets de sessão usados ​​no protocolo de autenticação Kerberos. 
 

Nomes principais de serviço (SPN)

O SPN é um identificador exclusivo de uma instância de serviço. 
 

NTLM 

O NTLM é uma coleção de protocolos de segurança usados ​​para autenticar, fornecer integridade e confidencialidade aos usuários. O Kerberos é o protocolo de autenticação preferido e é usado nas versões modernas do Windows; o NTLM ainda está disponível para clientes e sistemas mais antigos em um grupo de trabalho. 
 

Permissões NTFS

As permissões NTFS permitem definir quem está autorizado a acessar um arquivo ou pasta. Abaixo está uma lista das permissões básicas que você pode definir: 

  • Controle total – concede aos usuários o direito de adicionar, modificar, mover e excluir arquivos e pastas. 
  • Modificar – Dá aos usuários a visão e os direitos para modificar
  • Leitura e execução – Dá aos usuários a visão e a execução de direitos
  • Direitos somente leitura – pronto
  • Escrever – direto para um arquivo e adicionar novas pastas 

 

Permissões de compartilhamento

Permissões de compartilhamento definem o nível de acesso a recursos compartilhados, como uma pasta. Existem três permissões compartilhadas básicas: 

  • Ler – Permite que os usuários visualizem os direitos da pasta e das subpastas
  • Alterar – Dá aos usuários a leitura e modificação de direitos
  • Controle total – concede aos usuários direitos de modificação, alteração e leitura. 

 

Lista de controle de acesso discricionário (DACL)

Uma DACL identifica qual conta permite ou nega acesso a um objeto, como um arquivo ou uma pasta. 
 

Entradas de controle de acesso (ACE)

O DACL contém ACEs, o ACE define qual conta e qual nível de acesso deve ser concedido ao recurso. Se nenhuma ACE estiver presente, o sistema negará todo o acesso ao objeto. 
 

Lista de Controle de Acesso ao Sistema (SACL)

A SACL permite que os administradores registrem tentativas de acessar um objeto de segurança. Dicionário do Active Directory – Termos e conceitos.
 

Política de senha refinada
Um recurso no Windows 2008 e superior que permite definir políticas diferentes de senha e bloqueio de conta para diferentes contas. Geralmente, todas as contas devem ter a mesma política, mas você pode ter uma conta de serviço ou uma conta muito específica que precise de uma política diferente. Por exemplo, nossa conta wifi de convidado continuava sendo bloqueada devido a tentativas incorretas de senha. Usei uma política de senha concedida para definir um bloqueio de conta mais alto que o restante do domínio.

 

Consoles de gerenciamento do Active Directory

Esta seção inclui os consoles de gerenciamento que você precisará usar para gerenciar as várias tecnologias do Active Directory. 
 

Usuários e computadores do Active Directory (ADUC)

Esse é o console mais usado para gerenciar usuários, computadores, grupos e contatos. 
Atalho: dsa.msc
 

Centro Administrativo do Active Directory (ADAC)
A partir do Server 2008 R2, a Microsoft apresenta o ADAC para gerenciar seus objetos de serviço de diretório. Esse console pode ser usado para criar e gerenciar contas de usuário, contas de computador, grupos e unidades organizacionais. Ele fornece a mesma funcionalidade que a ferramenta Usuários e Computadores do Active Directory. Devido à interface complicada, prefiro o ADUC sobre esse console. 

 

Domínios e relações de confiança do Active Directory

Esse console é usado para aumentar o modo de domínio ou o nível funcional de um domínio ou floresta. Também é usado para gerenciar relacionamentos de confiança. 

Atalho: domain.msc

 

Sites e serviços do Active Directory

Este é o console principal para gerenciar a replicação. Esse console é usado para gerenciar objetos de topologia de site, objetos de conexão, agendar replicação, forçar manualmente a replicação, habilitar o catálogo global e habilitar o cache de grupo universal. Dicionário do Active Directory – Termos e conceitos.

Atalho: dssite.msc
 

Edição ADSI
O Editor de Interfaces de Serviços do Active Directory é uma ferramenta da GUI que pode ser usada para gerenciar objeções no Active Directory. Essa ferramenta fornece acesso a dados de objetos que não estão disponíveis em Usuários e Computadores do Active Directory.
Atalho: adsiedit.msc

 

Gerenciamento DFS

Esse console é usado para gerenciar os namespaces do DFS e a replicação do DFS. 

Atalho: dfsmgmt.msc

 

DHCP

Esse console é usado para criar escopos DCHP, exibir informações de concessão e tudo o que é DHCP. 

Atalho: dhcpmgmt.msc

 

DNS

Esse console é usado para criar zonas DNS, registros de recursos e gerenciar tudo o que é DNS. 

Atalho: dnsmgmt.msc

 

Gerenciamento de políticas de grupo
Atalho: gpmc.msc

 

PowerShell
Embora esse não seja um console de gerenciamento, é a ferramenta mais poderosa para automatizar tarefas administrativas. O PowerShell pode acelerar muitas tarefas de rotina que as ferramentas de gerenciamento da GUI não podem executar. 

 

Protocolo de controle dinâmico de host (DHCP)
O protocolo de configuração de host dinâmico é um serviço que fornece controle centralizado do endereço IP. Quando o computador se conecta a uma rede com ou sem fio, um servidor DHCP é contatado para encontrar e atribuir um endereço IP disponível. Dicionário do Active Directory – Termos e conceitos.

 

Escopo
Um escopo DHCP é uma coleção de configurações de endereço IP configuradas para dispositivos como um computador. Você pode criar vários escopos para diferentes tipos de dispositivos e sub-redes. Por exemplo, eu tenho um escopo para computadores e escopos diferentes para telefones IP. Ao configurar um escopo, você precisará configurar o seguinte: 
  • Nome do escopo – este é o nome do escopo. Dê um nome descritivo para facilitar a identificação de quais dispositivos ele é. 
  • Intervalo de endereços IP – Esse é o intervalo de IP que você deseja que os dispositivos usem. Por exemplo 10.2.2.0/24
  • Exclusões de endereço IP – Você pode especificar para excluir o endereço IP do escopo. Isso é útil se você possui dispositivos na sub-rede que precisam de um IP estático, como um roteador ou servidor. 
  • Duração da concessão – a concessão especifica quanto tempo um cliente tem um endereço IP antes de devolvê-lo ao pool. 
  • Opções de DHCP – Existem várias opções diferentes que você pode incluir quando o DHCP atribui um endereço IP. Mais sobre isso abaixo

 

Opções de DHCP

Existem muitas opções de DCHP, abaixo estão as opções mais usadas em um domínio do Windows. 

  • Roteador 003 – o gateway padrão da sub-rede
  • 005 Servidor DNS – O endereço IP dos clientes do servidor DNS deve ser usado para a resolução de nomes. 
  • 015 Nome de domínio DNS – o sufixo DNS que o cliente deve usar, geralmente o mesmo que o nome do domínio. 

 

Filtragem DHCP

A filtragem DHCP pode ser usada para negar ou permitir dispositivos com base em seus endereços MAC. Por exemplo, eu o uso para impedir que dispositivos móveis se conectem ao nosso wifi seguro. 
 

Superescopos

Um superescopo é uma coleção de escopos DHCP individuais. Isso pode ser usado quando você deseja ingressar em escopos juntos. Honestamente, eu nunca usei isso. Dicionário do Active Directory – Termos e conceitos.
 

Dividir escopos

Este é um método de fornecer tolerância a falhas para um escopo DHCP. Usar o failover de DHCP não é o método preferido para tolerância a falhas. 
 

Failover DHCP

O failover do DCHP foi um novo recurso que começou na versão 2012 do servidor. Ele permite que dois servidores DHCP compartilhem informações de concessão, fornecendo alta disponibilidade para serviços DCHP. Se um servidor ficar indisponível, o outro servidor assume o controle. 
 

Política de grupo

A política de grupo permite gerenciar centralmente as configurações do usuário e do computador. Você pode usar a política de grupo para definir políticas de senha, políticas de auditoria, tela de bloqueio, mapear unidades, implantar software, uma unidade, configurações do office 365 e muito mais. 
 

Objetos de Diretiva de Grupo (GPO)

GPOs são uma coleção de configurações de diretiva que você usa para aplicar a computadores ou usuários. 
 

Frequência de atualização da diretiva de grupo 

Estações de trabalho clientes e servidores membros atualizam suas políticas a cada 90 minutos. Para evitar sobrecarregar os controladores de domínio, há um intervalo de deslocamento aleatório adicionado a todas as máquinas. Isso impede que todas as máquinas solicitem atualizações de diretiva de grupo do controlador de domínio ao mesmo tempo e potencialmente causem um travamento. 
 

Processamento de políticas

As políticas de grupo se aplicam na seguinte ordem

  • Local
  • Local
  • Domínio
  • Unidade Organizacional (OU)

 

Bloquear herança

Por padrão, os objetos de diretiva de grupo são herdados. Para alterar esse comportamento, você pode usar a opção de herança de bloco no nível da OU. 
 

Nenhuma substituição

Se você deseja aplicar políticas e impedir que elas sejam bloqueadas, use a opção sem substituição. Dicionário do Active Directory – Termos e conceitos.
 

Configurações do Usuário

Em um GPO, há configurações de usuário e computador. As configurações do usuário se aplicam apenas aos objetos do usuário. Se você definir configurações de usuário no GPO, o GPO deverá ser aplicado aos objetos do usuário. 
 

Configurações do computador

As configurações do computador em um GPO são configurações que podem ser aplicadas a um computador. Se você definir as configurações do computador, o GPO deverá ser aplicado aos objetos do computador. 
 

Conjunto de diretivas resultante (RsoP)

O conjunto de políticas resultante é uma ferramenta da Microsoft incorporada ao Windows 7 e versões posteriores. Ele fornece aos administradores um relatório sobre quais configurações de diretiva de grupo estão sendo aplicadas a usuários e computadores. Também pode ser usado para simular configurações para fins de planejamento.
 

Preferências de Diretiva de Grupo

As Preferências de Diretiva de Grupo são usadas principalmente para definir configurações que podem ser alteradas posteriormente no nível do cliente. As preferências também têm a opção de fazer uma segmentação avançada, como aplicar a uma determinada UO, versão do Windows, usuários de um grupo e assim por diante. As preferências são comumente usadas para configurar o seguinte: 

  • Mapeamentos de unidades
  • Configurações do registro
  • Instalar impressoras
  • Agendar tarefas
  • Definir permissões de arquivo e pasta
  • Definir configurações de energia

 

Modelos

Você pode instalar modelos de diretiva de grupo adicionais para estender os GPOs padrão fornecidos pela Microsoft. Alguns modelos comuns usados ​​são o Office 365, Chrome, Firefox e os fornecidos por aplicativos de terceiros. Modelos são arquivos baseados em xml, geralmente em formato ADM ou extensão de arquivo ADMX. Dicionário do Active Directory – Termos e conceitos.
 

Quer tornar-se um especialista em produtos Microsoft?

Tenha acesso a vários cursos em uma única plataforma pagando apenas R$ 9,90 por mês?
Conheça o Microsoft Club clicando aqui.