16. Manipulacao de Usuarios No Active Directory

Administração de Redes Aula 16

Os direitos desta obra foram cedidos à Universidade Nove de Julho

Este material é parte integrante da disciplina oferecida pela UNINOVE. O acesso às atividades, conteúdos multimídia e interativo, encontros virtuais, fóruns de discussão e a comunicação com o professor devem ser feitos diretamente no ambiente virtual de aprendizagem UNINOVE.

Uso consciente do papel. Cause boa impressão, imprima menos.

AULA 16  – Manipulação de usuários no Active Directory

O Active Directory exige autenticação de usuários no Domínio. Para que o usuário possa acessar os recursos, é necessária a criação de uma conta. Vamos proceder na instalação de conta de usuário. Para começar o Windows, vá em Iniciar  –  Programas  –  Ferramentas administrativas

e

selecione

a

opção

ACTIVE

DIRECTORY

USERS

AND

COMPUTERS  Usuários e Computadores do Active Directory. Teremos o seguinte console de trabalho:

 Abaixo do nome do domínio é exibida uma lista de opções criadas automaticamente quando o Active Directory é instalado: 

Builtin: nessa opção estão os grupos criados automaticamente quando o Active

Directory é instalado. Esses grupos são utilizados para funções de administração do domínio. Os grupos que ficam nessa opção são grupos Locais do domínio. 

Computers (Computadores): opção em que ficam as contas de todos os

computadores do domínio, a não ser que tenham sido criadas outras unidades organizacionais para onde contas tenham sido movidas. 

Domain Controllers (Controladores de Domínio): nessa opção ficam as contas

de computadores dos DCs do domínio. 

Foreignsecurityprincipals: nessa opção ficam objetos relacionados a relações

de confiança criadas manualmente pelo administrador.



Users: opção onde ficam as contas que foram criadas automaticamente pelo

 Active Directory, bem como os grupos Globais criados automaticamente. Por padrão, é nessa opção que criamos novas contas de usuários. Nessa estrutura de pastas podem ser criadas pastas personalizadas como OU, por exemplo, as Unidades Organizacionais. Para criar uma OU, posicione o mouse sobre o domínio, clique com o botão direito, escolha a opção novo  – Unidade Organizacional (criar uma unidade chamada teste). Em seguida crie um usuário dentro da Unidade “teste” Botão direito na Unidade Organizacional “teste” – Novo – Usuário

 A senha deve ser complexa, contendo letras maiúsculas e minúsculas, números e símbolos, além de ter mais de 7 caracteres. Essa diretiva de complexidade de senha pode ser desativada se o administrador preferir.

O Active Directory permite que o administrador defina a forma como o usuário irá tratar a sua senha pessoal, tendo para isso as seguintes opções:

Opções de senha

Descrição

O usuário deve alterar a Usuários devem alterar suas senhas na próxima vez que senha no próximo logon.

fizerem logon na rede.

O usuário não pode alterar Usuários não têm permissão para alterar suas próprias a senha.

senhas.

 A senha nunca expira

A expiração da senha do usuário é impedida.

Conta desativada.

Usuário não pode fazer logon usando a conta selecionada.

No Windows Server 2003, por padrão, são definidas as seguintes políticas de segurança em relação às senhas de usuários: Não pode ser utilizada uma senha igual às 24 últimas.  A senha expira (isto é, deve ser alterada) a cada 42 dias. O tempo mínimo de vida de senha é um dia. Se você trocou a senha hoje, não poderá trocá-la novamente daqui a uma ou duas horas, somente após um dia. Tamanho mínimo de sete caracteres.  A opção “A senha deve atender critérios de complexidade” é habilitada por padrão.  A senha não pode conter parte ou todo o nome da conta. Por exemplo, se o nome for jsilva, a senha não poderá conter a sílaba “sil” ou a palavra “silva”.

Políticas de Senha para o Domínio (FERRAM. ADM./DIRETIVA DE SEGURANÇA DE DOMÍNIO) Essas políticas estão divididas em três grupos, conforme descrito a seguir: 

Políticas de senha (Password policy): políticas que definem as características

que as senhas devem ter. Por exemplo: o número mínimo de caracteres, o período em que devem ser trocadas, se devem ou não atender a critérios de complexidade etc.

Para alterar uma diretiva basta dar um clique duplo nela.



Políticas para Bloqueio de Senha (Account Lockout Policy) : essas políticas

definem quando uma conta será bloqueada, com base em um número de tentativas de logon sem sucesso. Por exemplo, o administrador pode definir que, se o usuário tentar fazer três logons sem sucesso (por exemplo, digitando uma senha incorreta para a sua conta) dentro do período de uma hora, a conta seja bloqueada. 

Kerberos Policy (Políticas do Kerberos): O Kerberos é um protocolo de

autenticação utilizado por muitos sistemas operacionais. Existem algumas políticas de segurança relacionadas ao protocolo Kerberos que podem ser definidas pelo administrador. Para ativar as propriedades do usuário, devemos clicar nele com o botão direito e escolher a opção Propriedade.

Entendendo as guias de propriedades do usuário Guia Geral  Contém Nome, descrição, endereços, telefones, e-mail. Guia Endereço  Contém Endereço, caixa postal, cidade, estado, município, cep e país.

Guia Conta  Nome de logon, opções de conta, desbloqueio, expiração de conta e horário de login.

Guia Perfil  Caminho do perfil e pasta base (script.bat). Caminho do Perfil: informe o caminho completo onde está gravada a profile do usuário. (Um local onde será gravado um arquivo com o perfil do usuário  – quando este logar será puxado seu perfil – os demais usuários não visualizam esse perfil).

Script de Logon: campo onde é informado o nome do script de logon (normalmente um arquivo .bat), que será executado quando o usuário fizer o logon. Esse script normalmente é um arquivo .bat e deve ser gravado em uma pasta específica nos controladores de domínio (sysvol). Neste script devem ser colocados comandos que serão executados automaticamente quando o

usuário fizer o logon, como por exemplo: comandos para mapear unidades de rede, atualizar o antivírus, executar um arquivo .exe, sincronizar data e hora e assim por diante. O conteúdo do compartilhamento Netlogon é replicado, automaticamente, pelo Active Directory, entre todos os DCs do domínio.

REFERÊNCIA HOLME, Dan ; THOMAS, Orin. Kit de treinamento para o exame 70-290 : administração e manutenção do ambiente Microsoft Windows Server 2003. Porto  Alegre: Bookman, Microsoft Press, 2006.