Serviços de Domínio Active Directory no Windows Server 2019
O Windows Server 2019 é o novo compromisso da Microsoft com todo o amplo segmento corporativo, que decidiu colocar sua confiança e seus serviços neste sistema operacional inovador e sempre confiável. O novo A versão 2019 do Windows Server é baseada em quatro pilares fundamentais que são:
- Híbrido
- Segurança
- Plataforma de aplicativo
- Infraestrutura de hiperconvergência
Isso nos garantirá um sistema escalonável, seguro, confiável e no qual as opções de administração serão muito mais amplas.
Quando administramos o Windows Server, há uma série de funções e serviços que desempenham um papel vital em todo o desempenho em nível de estrutura e organização e um dos mais importantes são os serviços de domínio do Active Directory e é por isso que os AdminGuides farão Uma análise completa do que são esses serviços e do que são compostos para ter uma compreensão global de todo o impacto que eles têm no sistema e nos objetos que na composição e deve ser gerenciado.
1. Serviços de domínio do Active Directory no Windows Server 2019
Mais conhecido como AD DS (Serviços de Domínio do Active Directory ), eles foram estabelecidos a fim de oferecer os métodos mais adequados para armazenar dados de diretório e permitir que esses dados estejam sempre disponíveis para usuários e administradores de rede, apenas para se ter uma idéia disso, os armazenamentos de AD DS informações associadas a contas de usuário com detalhes como nomes, senhas, números de telefone, etc., e permite que outros usuários autorizados no domínio acessem essas informações.
Lembre-se de que o Active Directory usa um data warehouse estruturado para têm uma organização lógica e hierárquica das informações do diretório e esses objetos são normalmente recursos compartilhados, como servidores, volumes, impressoras e contas de usuário.
Agora no Windows Server 2019, os serviços de domínio do Active Directory foram estabelecidos para melhorar a capacidade de cada administrador para p rotectar ambientes Active Directory permitindo a opção de migrar para implantações híbridas e em nuvem, que é uma tendência que está ganhando força, já que muitos aplicativos e serviços são hospedados na nuvem.
As melhorias que veremos no domínio Os serviços no Windows Server 2019 são:
Algumas de suas vantagens são:
- Novos processos no MIM para solicitar privilégios administrativos
- Uma nova função da floresta do Active Directory, gerada pelo MIM
- Novos princípios de segurança (grupos)
- Os links de expiração estão disponíveis em todos os atributos vinculados aos
- aprimoramentos do KDC foram integrados aos controladores de domínio do Active Directory com a tarefa de restringir a vida do tíquete Kerberos ao menor valor de vida útil possível (TTL)
- Novos recursos de monitoramento para expandir os resultados das tarefas administrativas.
- Disponibilidade de configurações modernas em dispositivos Windows no nível da organização
- Serviços de roaming ou personalização, novas configurações de acessibilidade e melhorias de credenciais
- Acesso à loja da Microsoft com uma conta de trabalho
- Os recursos da empresa agora podem ser acessados em dispositivos móveis que não podem ser associados a um domínio corporativo do Windows.
- Logon único no Office 365 e outros aplicativos
- Em dispositivos BYOD, é permitido adicionar uma conta de trabalho, usando um domínio local ou Azure AD, a uma conta pessoal dispositivo e, assim, fazer uso de recursos SSO
- Suporte ao modo 'quiosque'
Quando usamos este método, o usuário faz login no dispositivo usando uma informação de login biométrica ou PIN que está vinculado a um certificado ou par de chaves assimétricas, portanto, os provedores de identidade (IDPs) validam o usuário que faz login por atribuir a chave pública do usuário ao IDLocker e, portanto, as informações de login são obtidas usando o método One Time Password (OTP) ou um mecanismo de notificação diferente.
2. Projetar e planejar serviços de domínio Active Directory no Windows Server 2019
Quando tivermos optado por implementar os Serviços de Domínio Active Directory usando o Windows Server 2019, será possível acessar um modelo administrativo centralizado completo e ter o sinal único -on (SSO) função gerada pelo AD DS.
- Simplifique a administração de recursos e usuários
- Crie escalonável, secu infraestrutura de administração simples e re.
- Gerenciar infraestrutura de rede, incluindo objetos, Microsoft Exchange Server e vários ambientes de domínio.
- Fase de design onde o design para a estrutura lógica do AD DS é criado ul >
- Fase de implementação, onde a equipe de implementação testa o design em um ambiente de laboratório e depois o implementa no ambiente de produção de forma a não afetar o desempenho ideal dos serviços e processos.
- A fase de operações é onde somos responsáveis por administrar e manter o serviço de diretório em operação ideal.
- Projete a estrutura lógica do Active Directory levando em consideração o número de florestas a serem usadas para criar os designs necessários para os domínios, a infraestrutura do Sistema de Nomes de Domínio (DNS) e as unidades organizacionais (OU)
- Projete a topologia para usar qual é uma representação lógica da rede física disponível
- Defina a capacidade do controlador de domínio, determinando a quantidade apropriada de controladores de domínio para cada site usar e verifique se eles atendem aos requisitos de hardware do Windows Server 2019 .
- Habilitando os recursos avançados do AD DS no Windows Server 2019.
- Gerenciamento simplificado de redes baseadas em Microsoft Windows onde um grande número de objetos são incluídos
- Capacidade de delegar controle administrativo sobre recursos
- Uma estrutura de domínio forte e custos de administração reduzidos
- Impacto reduzido na rede largura de banda rk aumentando o desempenho em toda a empresa
- Compartilhamento simplificado de recursos
- Desempenho de pesquisa ideal
3. Implantar os Serviços de Domínio Active Directory no Windows Server 2019
Depois de definir em detalhes como os serviços de domínio do Active Directory devem ser usados, procedemos à sua instalação e para isso temos várias alternativas sendo a forma gráfica mais tradicional.
Para isso vamos ao Administrador do Servidor e na opção “Adicionar funções e recursos”? vamos para a seçà £ o â € œServiços de Domínio de Diretório Ativoâ € ?? e siga as etapas do assistente para a configuração do domínio e da floresta:
Para informações mais detalhadas, podemos acessar o seguinte link:
Podemos também executar este processo através do Windows PowerShell, para isso devemos executar o seguinte: Adicionar a função que instala a função de servidor AD DS e instala ferramentas de administração de servidor AD DS e AD LDS, incluindo ferramentas baseadas em GUI, como usuários e computadores do Active Directory e ferramentas de linha de comando, executamos o seguinte:
Install-windowsfeature -name AD-Domain-Services -IncludeManagementTools
Agora, executamos o seguinte comando para ver os cmdlets no módulo ADDSDeployment:
Get-Command -Module ADDSDeployment
Se quisermos ver a lista de argumentos que podem ser especificados para um cmdlets específicos, executamos o seguinte sintaxe:
Get-Help u0026 lt; cmdlet u0026 gt;
Depois de configurar e instalar o AD DS, podemos executar um dos cmdlets de teste para validar nossa instalação. Globalmente, essas são as opções no nível de implementação do AD DS no Windows Server 2019, no link mencionado acima encontraremos a maneira de adicionar uma nova floresta ou domínio.
4. Operação de Serviços de Domínio Active Directory no Windows Server 2019
Assim que nossos serviços Active Directory estiverem funcionando como administradores, devemos garantir sua segurança e desempenho total para este fim uma série de dicas úteis são:
- Reduzir a superfície de ataque do Active Directory, uma vez que todos os objetos (usuários e computadores) podem ser vulneráveis
- Implementar modelos administrativos de privilégios mínimos para adicionar mais segurança
- Implementar hosts administrativos seguros
- Proteger controladores de domínio contra vários tipos de ataques
- Monitoramento constante do Active Directory para alarmes que comprometam sua integridade
- Crie novas políticas de auditoria
Uma das mais simples, mas na ao mesmo tempo, maneiras mais integradas de ver tudo o que acontece com nossos serviços AD DS é usando o 'Visualizador de eventos':
Lá, temos uma série de IDs de eventos que são úteis para a administração, como como:
- 4618: Ocorreu um evento de segurança supervisionado.
- 4649: Um ataque de repetição foi detectado. Pode ser um falso positivo inofensivo devido a um erro de configuração incorreta
- 4719: Política de auditoria do sistema alterada.
- 4765: Histórico SID alto foi adicionado a um conta
- 4766: Falha na tentativa de adicionar o Histórico SID a uma conta.
- 4794: Foi feita uma tentativa de definir o modo de restauração do serviço de diretório.
- 4897: Separação de função alta habilitada
- 4964: Grupos especiais foram atribuídos a um novo login.
- 5124: A a configuração de segurança foi atualizada no Serviço de Resposta OCSP
- 550: Possível ataque de negação de serviço (DoS)
- 1102: O registro de auditoria foi excluído
- 4621: Sistema CrashOnAuditFail recuperado pelo administrador intermediário. Usuários que não são administradores
- Agora você pode fazer login. Algumas atividades auditáveis podem não ter sido registradas.
- 4692: Nenhuma tentativa foi feita para criar a cópia de backup média do mestre de proteção de dados chave.
- 4693: Foi tentada a recuperação média da chave mestra de proteção de dados.
- 4706: Uma nova relação de confiança foi criada para um domínio.
- 4713: A política Kerberos Media foi modificada.
- 4714: A política de recuperação de dados criptografados foi modificada.
- 4715: O a política de auditoria (SACL) em um objeto foi modificada.
- 4764: Um grupo com segurança desabilitada foi excluído
- 4764: O tipo de um grupo foi alterado .
- 4780: A ACL foi configurada em contas que são membros de grupos de administradores.
Para saber em detalhes todos os IDs de eventos que podemos vá para o seguinte link oficial da Microsoft. A partir dessas IDs de evento, podemos realizar uma série de tarefas administrativas para corrigir muitos problemas associados ao AD DS, permitindo que ele funcione da maneira correta e esperada.
5. Comandos para gerenciar AD DS no Windows Server 2019
Existem alguns comandos úteis no Windows Server que nos darão a possibilidade de obter informações e gerenciar objetos de uma forma muito mais completa, alguns deles são:
- Computador Dsadd: Adicionar um novo dispositivo ul >
- Contato Dsadd: Adicionar um novo contato
- Usuário Dsadd: Adicionar um novo usuário
- Grupo Dsadd: Criar um novo grupo
- Dsadd ou: Criar uma nova unidade organizacional
- Dsget computador
- usuário Dsget
- Grupo Dsget
- Dsget ou
Os serviços de domínio do Active Directory são um só dos componentes básicos que permitem que você obtenha o máximo do Windows Server e, assim, execute adm tarefas de registro de uma forma muito mais completa.