7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 1/25
Módulo 5Configuração de
relações de confiança e
objetos do Active Directory
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 2/25
Visão geral do módulo
• Delegação de acesso administrativo aos objetos do ActiveDirectory®
• Configuração das relações de confiança do Active Directory
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 3/25
Lição 1: Delegação de acesso administrativo aosobjetos do Active Directory
• Permissões de objeto do Active Directory
• O que são permissões efetivas?
• O que é delegação de controle?
• Assistente para delegação de controle
• Discussão: Cenários de delegação de controle
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 4/25
Permissões de objeto do Active Directory
• Podem ser definidas no nível do objeto ou herdadas deseu objeto pai.
• Podem ser permitidas e implicitamente ou explicitamentenegadas.
Incluem permissões padrão e especiais
• As permissões padrão são aquelasatribuídas com mais freqüência
• As permissões especiais fornecem um grau mais preciso
de controle para atribuição de acesso a objetos
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 5/25
Demonstração: Herança da permissão de objetodos Serviços de Domínio Active Directory
Nesta demonstração, você verá como:
• As permissões são herdadas dos objetos do AD DS
• Exibir permissões efetivas de um objeto
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 6/25
O que são permissões efetivas?
As permissões efetivas são aquelas realmente concedidas aousuário ou ao grupo especificado
• As permissões são cumulativas, incluindo as permissõesatribuídas à conta do usuário e à conta do grupo
• As permissões 'negar' explícitas substituem as permissões'permitir' herdadas
• As permissões 'permitir' explícitas substituem as permissões' '
Use a ferramenta Permissões Efetivas para exibir aspermissões efetivas
• As identidades especiais não são usadas quando a guiaPermissões Especiais é usada para exibir as permissõesespeciais
• A ferramenta de Permissões Efetivas não considera aspermissões de compartilhamento
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 7/25
• Administração delegada:
Facilita a administraçãodistribuindo tarefasadministrativas de rotina
O que é delegação de controle?
Atribui a responsabilidade de gerenciar objetos do ActiveDirectory para outro usuário ou grupo
Fornece a usuários ougrupos mais controlesobre recursos de redelocais
Elimina a necessidade decriar várias contasadministrativas
Domínio
UO1
UO2
Admin2
Admin1
Admin3
UO3
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 8/25
Assistente para delegação de controle
Use o Assistente para delegação de controle para:
• Atribuir automaticamente permissões adequadas a usuários egrupos
• Especificar o usuário ou o grupo ao qual você deseja delegarcontrole• Especificar as UOs e os objetos que o usuário ou o grupo deve ter
permissão para controlar
Modificação do Assistente para delegação de controle:
• A lista de tarefas comuns do assistente é controlada por modeloscontidos no arquivo delegwiz.inf
• É possível alterar a lista de tarefas comuns modificando o arquivodelegwiz.inf para incluir outros modelos
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 9/25
Discussão: Cenários de delegação de controle
• Quais são os benefícios da delegação de permissõesadministrativas?
• Como você usaria a delegação de controle na suaorganização?
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 10/25
Demonstração: Configuração da delegação decontrole
Nesta demonstração, você verá como:
• Configurar a delegação com o Assistente para delegaçãode controle
• Configurar a delegação usando um script do WindowsPowerShell
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 11/25
Laboratório A: Configuração da delegação doActive Directory
• Exercício 1: Delegação do controle dos objetos do AD DS
Informações de logon
-
Nome de usuário Administrador
Senha Pa$$w0rd
Tempo estimado: 30 minutos
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 12/25
Cenário do laboratório
O Woodgrove Bank também estabeleceu uma parceria comoutra organização. Alguns usuários de cada organizaçãoprecisam acessar recursos da outra organização. Noentanto, o acesso entre organizações deve ser limitado ao
mínimo de usuários possível.
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 13/25
Lição 2: Configuração das relações de confiançado Active Directory
• O que são as relações de confiança do AD DS?
• Opções de relações de confiança do AD DS
• Como relações de confiança funcionam em uma floresta
• Como relações de confiança funcionam entre florestas
• O que são UPNs?
• O que são configurações de autenticação seletiva?
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 14/25
O que são as relações de confiança do AD DS?
Fornecem um mecanismo para que os usuários obtenham acessoaos recursos de outro domínio
Características da relação de confiança:
• Transitiva: a relação de confiança se estende para além da relaçãoentre dois domínios a fim de incluir outros domínios confiáveis
•
define o domínio da conta e o domínio do recurso• Protocolo de autenticação: protocolo usado para estabelecer
e manter a relação de confiança
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 15/25
Opções de relação de confiança do AD DS
Relação deconfiança entre árvore e raiz
Relação deconfiançade florestaRelação de
confiança
entrepai e filho
Atalho de confiança Relação deconfiança
externa
Relação deconfiança
de território
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 16/25
Como as relações de confiança funcionam emuma floresta
Árvore um
Domínio 1
Domínio raizda árvore
Domínio raizda floresta
Árvore dois
Domínio 2
Domínio C
Domínio A
Domínio B
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 17/25
Como relações de confiança funcionam entre florestas
WoodgroveBank.com
contoso.com
Relação deconfiança de
floresta
Catálogoglobal
Catálogoglobal
6
Seattle
EMEA.WoodgroveBank.com NA.Contoso.com
Vancouver
2 4
1
35
7
89
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 18/25
Demonstração: Exame de relações de confiança
Nesta demonstração, você verá como:
• Examinar o MMC de domínios e relações de confiança doActive Directory
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 19/25
O que são UPNs?
• O sufixo de domínio pode ser o domínio primário do usuário,
qualquer outro domínio da floresta ou um nome de domíniopersonalizado
• Sufixos de domínio UPN adicionais podem ser adicionados
• O UPN é um nome de logon que inclui o nome de logon do usuárioe um sufixo de domínio
• O UPN é um nome de logon que inclui o nome de logon do usuárioe um sufixo de domínio
• O UPN é um nome de logon que inclui o nome de logon do usuárioe um sufixo de domínio
• Os UPNs devem ser exclusivos na floresta
Os sufixos UPN podem ser usados para rotear as solicitações deautenticação entre florestas confiáveis:
• O roteamento do sufixo UPN será desabilitado automaticamente seo mesmo sufixo UPN for usado nas duas florestas
• É possível habilitar ou desabilitar manualmente o roteamento donome do sufixo entre relações de confiança
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 20/25
O que são configurações de autenticação seletiva?
Autenticação seletiva:
• Limita quais computadores podem ser acessados pelosusuários de um domínio confiável e quais usuários
do domínio confiável podem acessar o computador• Configurada no descritor de segurança do objeto do
computador localizado no AD DS
Para configurar a autenticação seletiva:
• Configure a relação de confiança de floresta ou externapara usar a autenticação seletiva em vez da autenticação
em todo domínio• Configure as contas do computador para autenticação
seletiva
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 21/25
Laboratório B: Configuração das relações de confiançado Active Directory
• Exercício 1: Configuração das relações de confiança do AD DS
Informações de logon
- -M quinas virtuais , ,
NYC-CL1, VAN-DC1Nome de usuário Administrador
Senha Pa$$w0rd
Tempo estimado: 30 minutos
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 22/25
Cenário do laboratório
O Woodgrove Bank tem diversas exigências degerenciamento dos objetos AD DS. A organizaçãonormalmente contrata estagiários que devem ter permissõeslimitadas e cujas contas devem ser definidas para expirarautomaticamente quando o estágio terminar. As contas deusuário também devem ser definidas com uma configuraçãopadrão. Além disso, a organização precisa de grupos do ADDS, que serão usados para atribuir permissões a váriosrecursos de rede. Ela retende automatizar as tarefas de
gerenciamento de usuário e de grupo e delegar algumastarefas administrativas a administradores principiantes.
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 23/25
Revisão do laboratório
• Após as relações de confiança terem sido configuradasconforme descrito no laboratório, a quais recursos osusuários do Woodgrovebank terão acesso no domínioFabrikam.com?
• Como você configuraria uma relação de confiança defloresta com outra organização se a organização nãofornecesse as credenciais do administrador?
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 24/25
Revisão do módulo e informações
• Perguntas de revisão
• Considerações sobre o gerenciamento de relações deconfiança e objetos do Active Directory
á d õ l d d ã
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 25/25
Página de anotações - Slide excedente. Nãoimprima o slide. Consulte o painel de anotações.
Top Related