Como acessar o Active Directory Schema Manager ?
É muito simples pessoal, mas antes é preciso registrar uma DLL.
Para isto, abra um prompt de comando e digite:
regsvr32 schmmgmt.dll
Aparecerá uma mensagem dizendo que a operação foi realizada com sucesso. Aperte OK.
Agora clique em Iniciar, Executar e digite MMC.
Clique em Menu, Add/Remove Snap-in. Do lado esquerdo, selecione Active Directory Schema. Clique em Adicionar, Fechar, OK.
Enjoy !!!
Abs,
segunda-feira, 22 de novembro de 2010
Role Separation (Separação de Papéis)
E ai pessoal, td bom?
Vamos hoje falar rapidinho sobre Role Separation ("Separação de Papéis").
O que seria isto?
Na CA (Certificate Authority) você pode ter um user que é responsável por tudo, aprovar certificados, revogar, etc - Ou você pode criar vários users e cada um ser responsável por um papel. Isto é muito comum em empresas de grande porte, porque caso ocorra algum problema com o user que tenha o controle total da sua CA, pode haver o comprometimento da sua CA inteira !
Atenção:
Apenas membros do grupo Administradores local da CA estão aptos a habilitar ou desabilitar a separação de papéis, pois haverá alteração no registro do Windows Server.
Antes de realizar a separação de papéis certifique-se de que os usuários não tenham mais do que um papel atribuído à eles (cada um deve ter no máximo 1 papel). Caso contrário, quando a separação for habilitada o usuário terá acesso negado ao tentar administrar a CA.
Como separar os papéis?
No prompt de comando digite:
certutil -setreg ca\RoleSeparationEnabled 1
>>> O Certificate Services deve ser parado e iniciado novamente após isto. Para isto, no prompt de comando digite: :
net stop certsvc
net start certsvc
Como voltar como era antes? Como desabilitar a separação de papéis?
No prompt de comando digite:
certutil -delreg ca\RoleSeparationEnabled
Dica: Se você quiser saber se esta habilitado ou não a separação de papéis digite:
certutil -getreg ca\RoleSeparationEnabled
Observação:
Uma vez que a separação de papéis esteja habilitada, o Administrador da CA não consegue atribuir um usuário para mais de um papel. Se o Administrador da CA tentar fazer isto a operação será recusada.
Abs,
Vamos hoje falar rapidinho sobre Role Separation ("Separação de Papéis").
O que seria isto?
Na CA (Certificate Authority) você pode ter um user que é responsável por tudo, aprovar certificados, revogar, etc - Ou você pode criar vários users e cada um ser responsável por um papel. Isto é muito comum em empresas de grande porte, porque caso ocorra algum problema com o user que tenha o controle total da sua CA, pode haver o comprometimento da sua CA inteira !
Atenção:
Apenas membros do grupo Administradores local da CA estão aptos a habilitar ou desabilitar a separação de papéis, pois haverá alteração no registro do Windows Server.
Antes de realizar a separação de papéis certifique-se de que os usuários não tenham mais do que um papel atribuído à eles (cada um deve ter no máximo 1 papel). Caso contrário, quando a separação for habilitada o usuário terá acesso negado ao tentar administrar a CA.
Como separar os papéis?
No prompt de comando digite:
certutil -setreg ca\RoleSeparationEnabled 1
>>> O Certificate Services deve ser parado e iniciado novamente após isto. Para isto, no prompt de comando digite: :
net stop certsvc
net start certsvc
Como voltar como era antes? Como desabilitar a separação de papéis?
No prompt de comando digite:
certutil -delreg ca\RoleSeparationEnabled
Dica: Se você quiser saber se esta habilitado ou não a separação de papéis digite:
certutil -getreg ca\RoleSeparationEnabled
Observação:
Uma vez que a separação de papéis esteja habilitada, o Administrador da CA não consegue atribuir um usuário para mais de um papel. Se o Administrador da CA tentar fazer isto a operação será recusada.
Abs,
dnscmd /createdirectorypartition .... Dnscmd /enlistdirectorypartition ???
E ai pessoal, td bom?
Vamos falar hoje de mais 2 comandos que podem ser cobrados na 70-640:
Dnscmd /createdirectorypartition
Dnscmd /enlistdirectorypartition
Quando usá-los?
Vamos imaginar a seguinte situação: Você trabalha numa empresa onde há vários servers espalhados por região, todos no mesmo domínio (e rodando WS 2008), e vc está configurando um DNS que está na região Sul do país que é integrado ao AD. Na região Sul, este DNS que vc está configurando é o primeiro na lista dos usuários, então eles tentarão primeiro contactar este server. Vc quer que as alterações feitas neste server sejam replicadas apenas para os DNS na região Sul do país. Para isto, vc tenta editar o escopo de replicação e vê que não consegue definir uma partição customizada. Como corrigir isto?
No prompt de comando digite:
dnscmd /createdirectorypartition DNSZoneSul
onde DNSZoneSul, vc pode especificar o nome que quiser.
Para adicionar os outros DNS servers do Sul, digite:
Dnscmd DNS_Sul_01 /enlistdirectorypartition DNSZoneSul
Dnscmd DNS_Sul_02 /enlistdirectorypartition DNSZoneSul
Dnscmd DNS_Sul_03 /enlistdirectorypartition DNSZoneSul
etc ...
Basta tentar agora editar o escopo de replicação e selecionar DNSZoneSul em "To all domain controllers in the scope of this directory partition:"
Obs:
Abaixo segue como os comandos podem ser usados. Se vc não especificar o ServerName ele entenderá que é para ser executado no servidor que está sendo configurado por vc.
DnsCmd ServerName /CreateDirectoryPartition FQDN of partition
DnsCmd ServerName /EnlistDirectoryPartition FQDN of partition
Abs,
Vamos falar hoje de mais 2 comandos que podem ser cobrados na 70-640:
Dnscmd /createdirectorypartition
Dnscmd /enlistdirectorypartition
Quando usá-los?
Vamos imaginar a seguinte situação: Você trabalha numa empresa onde há vários servers espalhados por região, todos no mesmo domínio (e rodando WS 2008), e vc está configurando um DNS que está na região Sul do país que é integrado ao AD. Na região Sul, este DNS que vc está configurando é o primeiro na lista dos usuários, então eles tentarão primeiro contactar este server. Vc quer que as alterações feitas neste server sejam replicadas apenas para os DNS na região Sul do país. Para isto, vc tenta editar o escopo de replicação e vê que não consegue definir uma partição customizada. Como corrigir isto?
No prompt de comando digite:
dnscmd /createdirectorypartition DNSZoneSul
onde DNSZoneSul, vc pode especificar o nome que quiser.
Para adicionar os outros DNS servers do Sul, digite:
Dnscmd DNS_Sul_01 /enlistdirectorypartition DNSZoneSul
Dnscmd DNS_Sul_02 /enlistdirectorypartition DNSZoneSul
Dnscmd DNS_Sul_03 /enlistdirectorypartition DNSZoneSul
etc ...
Basta tentar agora editar o escopo de replicação e selecionar DNSZoneSul em "To all domain controllers in the scope of this directory partition:"
Obs:
Abaixo segue como os comandos podem ser usados. Se vc não especificar o ServerName ele entenderá que é para ser executado no servidor que está sendo configurado por vc.
DnsCmd ServerName /CreateDirectoryPartition FQDN of partition
DnsCmd ServerName /EnlistDirectoryPartition FQDN of partition
Abs,
quinta-feira, 11 de novembro de 2010
O que é um RODC?
RODC é um novo modelo de DC no Server 2008.
Obs: Para que ele funcione com mais segurança, se possível, configure o nível funcional da sua floresta para Windows 2008. Por que? - Porque se um RODC for "comprometido" o RWDC 2008 não replicará valores, mas o RWDC 2003 sim.
Para quais situações o RODC será útil?
O RODC foi desenvolvido para ser usado em escritórios remotos, onde há poucos usuários, menos que 100 por exemplo, e que não disponha de uma boa segurança física para o servidor. Pode ser usado também em casos onde o link WAN é lento e não haja um Administrador no local.
A grande sacada deste novo modelo é armazenar uma cópia Read-Only do Database, mas com várias funcionalidades. Vamos listar as principais:
- Database read-only do AD: Quando um aplicativo precisa apenas fazer uma consulta, ele pode acessar o RODC, entretando se alguma alteração for necessária o RODC indicará o RWDC (Read Writable DC). Depois que o RWDC fizer a alteração, ele replica esta nova informação para o RODC, pois caso a aplicação precise fazer uma nova consulta, a informação estará atualizada.
- Replicação Unidirecional: Apenas o RODC recebe informações, ele não envia. Lembre-se que qualquer alteração deve ser feita por um RWDC.
- RODC Filtered Attribute Set: Algumas aplicações usam o ADDS para armazenar dados como senhas, credenciais, chaves, etc. Nestes casos você consegue setar atributos no Schema para que estes objetos não sejam replicados para o RODC.
- Cache Limitado de Credenciais: Um RODC não armazena credenciais de users e computers, a não ser é claro da conta de computador do próprio RODC. Se o RODC recebe uma solicitação de autenticação, o RODC encaminha para o RWDC. Após isto o RODC solicita ao RWDC uma cópia das credenciais para atender futuras requisições. Se a diretiva de replicação permitir cache de credenciais, o RODC as armazena em cache e futuras solicitações de autenticações serão atendidas pelo RODC (até é claro houver uma alteração nas credenciais). Obs: Se o cache de credenciais não for permitido, qq solicitação de autenticação será encaminhada ao RWDC, provavelmente através de um link WAN, e se este link estiver fora os users não conseguirão autenticar-se.
- Separação das capacidades do ADM: O RODC pode atribuir o privilégio de administrador a um usuário sem permitir qualquer outro privilégio (permissão) no DC/Domínio.
- Read-only DNS: Mesmo esquema do "Database Read-only" explicado acima. O RODC DNS não permite qq alteração, ele apenas responde a requisições de leitura/consulta.
Abs,
Até o próximo post.
Obs: Para que ele funcione com mais segurança, se possível, configure o nível funcional da sua floresta para Windows 2008. Por que? - Porque se um RODC for "comprometido" o RWDC 2008 não replicará valores, mas o RWDC 2003 sim.
Para quais situações o RODC será útil?
O RODC foi desenvolvido para ser usado em escritórios remotos, onde há poucos usuários, menos que 100 por exemplo, e que não disponha de uma boa segurança física para o servidor. Pode ser usado também em casos onde o link WAN é lento e não haja um Administrador no local.
A grande sacada deste novo modelo é armazenar uma cópia Read-Only do Database, mas com várias funcionalidades. Vamos listar as principais:
- Database read-only do AD: Quando um aplicativo precisa apenas fazer uma consulta, ele pode acessar o RODC, entretando se alguma alteração for necessária o RODC indicará o RWDC (Read Writable DC). Depois que o RWDC fizer a alteração, ele replica esta nova informação para o RODC, pois caso a aplicação precise fazer uma nova consulta, a informação estará atualizada.
- Replicação Unidirecional: Apenas o RODC recebe informações, ele não envia. Lembre-se que qualquer alteração deve ser feita por um RWDC.
- RODC Filtered Attribute Set: Algumas aplicações usam o ADDS para armazenar dados como senhas, credenciais, chaves, etc. Nestes casos você consegue setar atributos no Schema para que estes objetos não sejam replicados para o RODC.
- Cache Limitado de Credenciais: Um RODC não armazena credenciais de users e computers, a não ser é claro da conta de computador do próprio RODC. Se o RODC recebe uma solicitação de autenticação, o RODC encaminha para o RWDC. Após isto o RODC solicita ao RWDC uma cópia das credenciais para atender futuras requisições. Se a diretiva de replicação permitir cache de credenciais, o RODC as armazena em cache e futuras solicitações de autenticações serão atendidas pelo RODC (até é claro houver uma alteração nas credenciais). Obs: Se o cache de credenciais não for permitido, qq solicitação de autenticação será encaminhada ao RWDC, provavelmente através de um link WAN, e se este link estiver fora os users não conseguirão autenticar-se.
- Separação das capacidades do ADM: O RODC pode atribuir o privilégio de administrador a um usuário sem permitir qualquer outro privilégio (permissão) no DC/Domínio.
- Read-only DNS: Mesmo esquema do "Database Read-only" explicado acima. O RODC DNS não permite qq alteração, ele apenas responde a requisições de leitura/consulta.
Abs,
Até o próximo post.
quinta-feira, 4 de novembro de 2010
Variáveis de Ambiente
E ae galera ...
Vamos falar sobre Variáveis de ambiente. O que seria isto?
É simples, e quebra um galhão !!!
Quem já não passou por aqueles momentos em que você faz um monte de configuração e ainda não consegue acessar um determinado server, por exemplo? Vc tenta pingar, por exemplo, e nada.
O ruim é que toda vez que vc precisa reiniciar a máquina vc tem que digitar td denovo "ping x.x.x.x" - Enche não?
Então podemos criar um atalho para isto, e vc precisará apenas digitar GO, por exemplo.
Aqui vou tentar explicar como funciona, mas depois cada um usa da maneira que achar mais conveniente. Vou colocar o nome do atalho como GO, mas vcs podem usar o nome que quiser:
- Abra o notepad, copiei e cole as linhas abaixo e salve-o como GO.BAT (lembre-se de onde está salvando. Vc vai precisar desta info depois):
cls
ping google.com.br
pause
ou
cls
nslookup google.com
pause
Agora pressione as teclas de atalho (Win + Pause Break), clique em Advanced/Environment Variables e em User Variables for ..seu coreid.. clique em New.
Em Variable Name digite PATH e em Variable Value digite o caminho onde vc salvou o GO.BAT (Exemplo: c:\nome_da_pasta).
- Clique OK 3x e pronto.
Clique em START, RUN e digite GO.
Agora usem a imaginação e criem "atalhos" para facilitar a vida no dia a dia.
Abs,
Vamos falar sobre Variáveis de ambiente. O que seria isto?
É simples, e quebra um galhão !!!
Quem já não passou por aqueles momentos em que você faz um monte de configuração e ainda não consegue acessar um determinado server, por exemplo? Vc tenta pingar, por exemplo, e nada.
O ruim é que toda vez que vc precisa reiniciar a máquina vc tem que digitar td denovo "ping x.x.x.x" - Enche não?
Então podemos criar um atalho para isto, e vc precisará apenas digitar GO, por exemplo.
Aqui vou tentar explicar como funciona, mas depois cada um usa da maneira que achar mais conveniente. Vou colocar o nome do atalho como GO, mas vcs podem usar o nome que quiser:
- Abra o notepad, copiei e cole as linhas abaixo e salve-o como GO.BAT (lembre-se de onde está salvando. Vc vai precisar desta info depois):
cls
ping google.com.br
pause
ou
cls
nslookup google.com
pause
Agora pressione as teclas de atalho (Win + Pause Break), clique em Advanced/Environment Variables e em User Variables for ..seu coreid.. clique em New.
Em Variable Name digite PATH e em Variable Value digite o caminho onde vc salvou o GO.BAT (Exemplo: c:\nome_da_pasta).
- Clique OK 3x e pronto.
Clique em START, RUN e digite GO.
Agora usem a imaginação e criem "atalhos" para facilitar a vida no dia a dia.
Abs,
Assinar:
Postagens (Atom)