Soluções Microsoft em Ambiente Corporativo
Active Directory
Ebook para gerenciar pequenas empresas
15/08/10
Gerenciar pequenas empresas não é uma tarefa para qualquer um, e das estruturas atuais nada melhor do que uma biografia de qualidade que possa ensinar o que deve ser utilizado para gerenciar melhor o ambiente não é mesmo?
Abaixo o guia “TI em Pequenas Empresas para Leigos”, espero que seja útil para todos!
Como dar direitos de adicionar máquina no domínio para um grupo específico?
23/02/10
Quando uma rede cresce muito e você precisa controlar os seus técnicos para colocar máquinas na rede sem ter direitos de administradores na rede, as vezes podemos conseguir várias soluções milagrosas, mas poucas efetivas. Para que você consiga dar esse direito aos seus técnicos sem ferir a regra de segurança da rede, siga os passos abaixo:
Primeiramente é preciso que você crie uma nova política, chamada por exemplo “Adicionar maquinas no domínio”
Após a criação, edite da seguinte forma:
Criando políticas para adicionar máquinas no domínio:
1. Abra a política e navegue até Computer Configuration / Windows Settings / Security Settings / Local Policies / User Rights Assignment.
2. Abra User Rights Assignment.
3. Duplo clique em Add workstations to Domain.
4. Marque a opção Define these policy.
5. Pressione o botão Browse para adicionar um grupo ou usuário.
6. Complete a janela para adicionar mais usuários caso seja necessário.
7. Pressione Apply e OK.
Política criada, porém ainda sem efeito, para que eles possam adicionar maquinas no domínio correto, utilize as seguintes informações:
Delegando direitos usando o Active Directory Users and Computers:
1. Abra o Active Directory Users and Computers snap-in.
2. clique com o botão direito na OU que você quer que os computadores sejam adicionados, clique em Delegate Control.
3. Clique em Next.
4. Clique em Add.
5. Depois de adicionar os users/groups, clique em Next.
6. Selecione “Create custom task to delegate” e clique em Next.
7. Selecione apenas os objetos que você quer que eles possam adicionar, no nosso caso, marque a opção Computer objects, e clique em “Create selected objects in this folder box”, clique em Next.
8. Clique em Next novamente
9. Clique em Finish.
Pronto!!
Recuperar objetos do Active Directory? ADRESTORE!
12/02/10
Segue um procedimento que pode salvar muita gente na hora do aperto.
Quando um objeto é excluído do Active Directory, na realidade ele ainda não é excluído em definitivo, o objeto apenas fica “oculto” e é marcado com atributo de exclusão podendo ser recuperado por ferramentas específicas sem efetuar restore do System State.A reanimação de marcas para exclusão foi introduzida no Windows Server® 2003 Active Directory para simplificar determinados cenários de recuperação dos dados. Esse recurso se aproveita do fato de que o Active Directory mantém os objetos excluídos no banco de dados durante um certo período antes de removê-los fisicamente.
Quando exclui um objeto do diretório, o Active Directory não o remove fisicamente do banco de dados. Na verdade, o Active Directory marca o objeto como excluído ao definir o atributo isDeleted do objeto como TRUE, ao remover grande parte dos atributos do objeto, ao renomear o objeto e ao movê-lo para um contêiner especial no NC (contexto de nomenclatura) do objeto chamado CN=Deleted Objects.
Reanimar uma marca para exclusão não é algo tão complexo. Pois existe uma ferramenta desenvolvida pela Sysinternals (uma empresa que hoje faz parte da Microsoft) que simplifica o processo de reanimação. Essa ferramenta, chamada de ADRESTORE. A instalação é simples. Basta copiar o executável para um diretório apropriado do seu computador, por exemplo, o diretório C:\WINDOWS\SYSTEM32.
Download Adrestore - http://technet.microsoft.com/en-us/sysinternals/bb963906.aspx
O ADRESTORE é executado em dois modos. Se você executá-lo sem parâmetros, ele listará todas as marcas para exclusão no contêiner CN=Deleted Objects do domínio padrão. É possível adicionar uma cadeia de caracteres de pesquisa à linha de comando para selecionar os objetos a serem exibidos, por exemplo:
C:\> adrestore Jose
Isso exibirá todos os objetos de marca para exclusão no contêiner CN=Deleted Objects com a cadeia de caracteres “Jose” em seu CN ou atributo OU – ele usa os filtros de pesquisa do LDAP cn=*Jose*. Não se trata exatamente da maneira mais flexível de pesquisar objetos de marca para exclusão, embora funcione na maioria das situações.
Caso queira reanimar uma marca para exclusão, e não apenas localizá-la, você precisa especificar a opção –r com uma cadeia de caracteres opcional como a seguinte:
C:\> adrestore –r Jose
Esse comando solicitará que você reanime todos os objetos de marca de exclusão correspondentes. O ADRESTORE sempre reanima o objeto no contêiner dado pelo atributo lastKnownParent da marca para exclusão – não há como especificar um contêiner diferente.
O ADRESTORE fornece uma interface de linha de comando prática para o uso da funcionalidade de reanimação do Active Directory. Embora não seja muito flexível, ele é bem mais fácil de usar do que o LDP.
Criar uma auto-assinatura global para todos os usuários
03/12/09
Em algumas empresas as vezes é preciso controlar a forma com que os e-mails são assinados. Aqui, um arquivo .vbs que busca as informações preenchidas no Active Directory e as insere no arquivo de auto-assinatura do cliente outlook.
Que tal testar essa solução?
1- Copie o código abaixo e cole em um notepad, salve-o como autosignature.vbs:
On Error Resume Next
Set objSysInfo = CreateObject("ADSystemInfo")
strUser = objSysInfo.UserName
Set objUser = GetObject("LDAP://" & strUser)strName = objUser.FullName
strTitle = objUser.Title
strDepartment = objUser.Department
strCompany = objUser.Company
strPhone = objUser.telephoneNumber
strMobile = objUser.mobileSet objWord = CreateObject("Word.Application")
Set objDoc = objWord.Documents.Add()
Set objSelection = objWord.SelectionSet objEmailOptions = objWord.EmailOptions
Set objSignatureObject = objEmailOptions.EmailSignatureSet objSignatureEntries = objSignatureObject.EmailSignatureEntries
objSelection.Font.Bold = True
objSelection.Font.Name = "Arial"
objSelection.Font.Size = 9
objSelection.TypeText strName
objSelection.TypeParagraph()
objSelection.Font.Style = "Normal"
objSelection.Font.Bold = False
objSelection.TypeText strTitle
objSelection.TypeParagraph()
objSelection.TypeText strDepartment
objSelection.TypeParagraph()
Set colShapes = objDoc.Shapes
Set objShape = objSelection.InlineShapes.AddPicture("\\server\sharename\path\filename.bmp")
objSelection.TypeParagraph()
objSelection.TypeText strCompany
objSelection.TypeParagraph()
objSelection.TypeText "Tel: " & strPhone
objSelection.TypeParagraph()
objSelection.TypeText "Mobile: " & strMobileSet objSelection = objDoc.Range()
objSignatureEntries.Add "AD Signature", objSelection
objSignatureObject.NewMessageSignature = "AD Signature"
objSignatureObject.ReplyMessageSignature = "AD Signature"objDoc.Saved = True
objWord.Quit
2- Edite/Salve esse arquivo em \\servername\sysvol\scripts no seu controlador de domínio, ou outro compartilhamento. Adicione uma nova GPO e inclua esse script pra ser executado em “User Configuration\Windows Settings\Scripts\Logon”.
3- Efetue logon no domínio e teste sua nova auto-assinatura. 
Dúvidas, entre em contato!
Guilherme Lima
MCITP Enterprise Administrator
Rapidinha: Erro “the following gpos were not applied because they were filtered out”
08/04/09
Olá pessoas,
Pra solucionar esse erro misterioso que aparece quando você tenta executar uma GPO em uma máquina e a mensagem é apresentada quando é utilizado o gpresult (no command).
Tenha sempre em mente o seguinte:
1º Se for aplicar uma GPO de Computers, tenha certeza de ter um computador na OU.
2º Se for aplicar uma GPO de Users, tenha certeza de ter um usuário na OU.
Passado esse problema, confira se a OU contém o que deve ser aplicado, (usuário ou computador) somente assim as políticas serão bem aplicadas.
Abraços e bom dia!
Como transferir funções FSMO de um controlador de domínio inacessível para outro controlador de domínio
23/03/09
Na vida de um consultor nos deparamos todos os dias com pessoas com os mais diversos tipos de skill e a única verdade que podemos tirar disso é: O que é óbvio para um é novidade ou é complicado para outro e se tratando de Active Directory, sempre temos alguma dica para quem está tendo problemas com um DC inacessível, então vamos lá:
Entender as FSMO roles e como e quando fazer a transferência das mesmas tem que ser bem entendido para que tudo funcione bem e rápido em caso de um desastre real ou em caso de uma simulação de DRP.
O que são as FSMO Roles, quais são elas e o que elas fazem:
Determinadas operações de domínio e de toda empresa que não são válidas para atualizações de diversos mestres são executadas por um único controlador de domínio em um domínio ou em uma floresta do Active Directory. Os controladores de domínio atribuídos para executar essas operações exclusivas são chamadas mestres de operações ou detentores de funções FSMO.
A seguinte lista descreve as 5 funções FSMO exclusivas em uma floresta do Active Directory e suas operações dependentes executáveis:
- Mestre de esquema – A função do mestre de esquema abrange toda a floresta e existe um para cada floresta. Essa função é necessária para estender o esquema de uma floresta do Active Directory ou executar o comando adprep /forestprep.
- Mestre de nomeação de domínio – A função do mestre de nomeação de domínio abrange toda a floresta e existe um para cada floresta. Essa função é necessária para adicionar ou remover partições de domínios ou de aplicativos ou para uma floresta.
- Mestre RID – A função do mestre RID abrange todo o domínio e existe um para cada domínio. Essa função é necessária para alocar o pool RID de modo que os controladores de domínio novos ou existentes possam criar contas de usuário, contas de computador ou grupos de segurança.
- Emulador PDC – A função emulador PDC abrange todo o domínio e existe um para cada domínio. Essa função é necessária para o controlador de domínio que envia atualizações de banco de dados para controladores de domínio de backup do Windows NT. O controlador de domínio que detém essa função também é alvo de determinadas ferramentas e atualizações administrativas para senhas de conta de usuário e conta de computador.
- Mestre de infra-estrutura – A função do mestre de infra-estrutura abrange todo o domínio e existe uma para cada domínio. Essa função é necessária para que os controladores de domínio executem o comando adprep /domainprep com êxito e atualizem os atributos SID e atributos de nome distinto para objetos citados por domínios.
O Assistente para instalação do Active Directory (Dcpromo.exe) atribui todas as 5 funções FSMO ao primeiro controlador de domínio no domínio raiz da floresta. O primeiro controlador de domínio em cada domínio filho ou árvore novo recebe as três funções que abrangem todo domínio. Controladores de domínio continuam a possuir funções FSMO até que sejam reatribuídos usando um dos seguintes métodos:
- Um administrador atribui novamente a função usando uma ferramenta administrativa GUI.
- Um administrador atribui novamente a função usando o comando ntdsutil /roles.
- Um administrador rebaixa normalmente um controlador de domínio detentor de função usando o Assistente para instalação do Active Directory. Esse assistente atribui novamente quaisquer funções mantidas localmente para um controlador de domínio existente na floresta. Rebaixamentos realizados usando o comando dcpromo /forceremoval deixam funções FSMO em um estado inválido até que sejam atribuídas novamente por um administrador.
O recomendado é que as roles sejam distribuidas entre os DCs do domínio, mas as vezes isso não ocorre e nos deparamos com 1 DC com todas as roles e outro sem nenhuma e como sempre Murphy dá aquela ajuda e o DC com todas as regras tem uma falha de Hardware. Os passos abaixo vão ajudá-lo a sair dessa situação:
- Faça o logon no controlador de domínio para o qual está atribuindo as funções FSMO. O usuário conectado deve ser um membro do grupo Administradores de empresa para transferir as funções de mestre de esquema ou mestre de nomeação de domínio, ou um membro do grupo Administradores de domínio do domínio no qual as funções emulador PDC, mestre RID e mestre de infra-estrutura estão sendo transferidas.
- Clique em Iniciar e em Executar, digite ntdsutil na caixa Abrir e clique em OK.
- Digite roles e pressione ENTER.
- Digite connections e pressione ENTER.
- Digite connect to server nome_do_servidor e pressione ENTER no qual, nome_do_servidor é o nome do controlador de domínio para o qual deseja atribuir a função FSMO.
- No prompt server connections , digite q e pressione ENTER.
- Digite seize função, no qual função é a função que deseja executar. Para obter uma lista de funções que podem ser executadas digite ? no prompt fsmo maintenance e pressione ENTER ou, consulte a lista de funções no início deste artigo. Por exemplo, para executar a função mestre RID, digite seize rid master. A única exceção é para a função emulador PDC do qual, a sintaxe é seize pdc e não seize pdc emulator.
Nesse caso de perda do DC com todas as funções iremos executar:
seize domain naming master
seize infrastructure master
seize PDC
seize Rid master
seize Schema Master
*Apos cada comando aparecerá uma tela pedindo a confirmação da transferência - No prompt fsmo maintenance digite q e pressione ENTER para obter acesso ao prompt ntdsutil. Digite q e pressione ENTER para fechar o utilitário Ntdsutil.
Nota Importante n1:
Sempre em que for feito o seize das roles: Schema Master, Rid Master ou Domain Naming o DC original deve ser reinstalado
Nota Importante n2:
É necessário efetuar o procedimento descrito no artigo http://support.microsoft.com/kb/216498 para remover os dados do DC antigo do Active Directory.
Fiquem a vontade para postar suas dúvidas/comentários 
Abraços !
Guilherme Lima
