Tag Archives: active directory

Resetando a senha do modo de restauração do Active Directory

Imagine você é contratado em uma nova empresa e ocorre um problema em seu Active Directory. Você esta em dia com seus backups do system state então se prepara para entrar no modo de restauração do serviço de diretório e percebe que não possui a senha e a empresa nenhuma documentação sobre mesma.

Para uns isso é novidade, para o pessoal de campo isso é rotina (muitas empresas não documentam esses procedimentos técnicos). A senha que estou me referindo é a digitada no momento da criação do domínio como mostra a figura abaixo

Essa senha é usada para o modo de restauração dos serviços de diretório ( não é a senha de administrador do domínio !!!) o que acontece com freqüência é a mudança de administradores e com isso suas senhas e essa senha acaba sendo esquecida.

No prompt de comando digite:

NTDSUTIL
set dsrm password
reset password on server null

Digite a nova senha, confirme novamente e pronto sua senha redefinida

Fonte: Carlos Finet

Redes – Sabe para que serve um serviço LDAP?

De acordo com os vários artigos que já escrevemos sobre redes, é fácil de imaginar que numa rede de dados são muitos os serviços que dão suporte a toda a infra-estrutura. Um dos serviços mais importantes e que serve de suporte a outros é o LDAP (Lightweight Directory Access Protocol). Mas quais as funcionalidades que este serviço permite?

ldap_00

Considere por exemplo uma rede de uma empresa. Já imaginou onde são guardadas as informações relativamente aos utilizadores (Nome, username, password, informações sobre a conta, etc) grupos de utilizadores, informações das máquinas entre outras informações?

Numa rede bem estruturada, existe normalmente um serviço LDAP que mantém toda essa informação e ainda permite a autenticação de utilizadores.

ad_00

(imagem do Active Directory do Windows)

A informação encontra-se organizada de forma hierárquica e centralizada, tal como uma agenda telefónica, o que facilita a gestão da mesma por parte de qualquer Administrador e o acesso por parte de outros serviços (ex.FreeRadius).

Para a implementação de um serviço de LDAP existem algumas alternativas sendo que as mais conhecidas são o Active Directory do Windows e o OpenLDAP para sistemas Linux (existem também um porte para o Windows – ver aqui).

Fonte: Peopleware

Como ingressar o Windows 7 em domínio em modo offline (ferramenta DJOIN)

Para você que está implementando o Windows 7 (ou Windows Server 2008 R2) saiba que existe uma maneira alternativa de ingressar as máquinas em domínio: o modo offline.

image

Alguns cenários de uso:

  • Instalar PCs em uma rede isolada para em um momento futuro fazer sua distribuição já com as máquinas em domínio. Ex.: a equipe de instalação dos PCs (talvez o fornecedor do hardware) não tem acesso à sua rede corporativa.
  • Preparar PCs em uma localidade remota que por algum motivo ainda não tem conexão de rede com o controlador de domínio
  • Acelerar a implementação de máquinas virtuais (a VM entra no domínio sem ter que dar um reboot).

A ferramenta de linha de comando que permite essa ação chama-se DJOIN, e permite automatização de processos em lote quando necessária.

No passo-a-passo abaixo vamos cobrir o processo manual de provisionamento no Active Directory para posterior associação ao PC destino:

Provisionamento da conta de máquina no Active Directory:

A partir de um PC ou Servidor membro do domínio (rodando Windows 7 ou Windows Server 2008 R2, com conexão ao controlador de domínio) autenticado com um usuário que tem permissão de criar conta de máquina no Active Directory, execute a partir doPrompt de Comandos:

Como esta a Saúde do seu AD ?

Vamos falar de uma ferramenta projetada para quem quer avaliar a saude global da sua infra-estrutura de rede. Quando executado em um computador com acesso à rede, a ferramenta leva alguns minutos para analisar o seu ambiente de TI, executando mais de 100 verificações em separado. Ela coleta e analisa informações sobre as seguintes funções:

  • Configuração de sites e sub-redes no Active Directory
  • A replicação do Active Directory, o sistema de arquivos e pastas compartilhadas SYSVOL
  • A resolução de nomes pelo Domain Name System (DNS)
  • Configuração de servidores dos adaptadores de rede de todos os controladores de domínio, servidores DNS, e-mail com o Microsoft Exchange Server
  • Saúde dos controladores de domínio
  • Configuração do Network Time Protocol (NTP) para todos os controladores de domínio

Essa ferramenta foi inicialmente desenvolvida para quem estava implantando o EBS, mas foi observado pela equipe que o mesmo poderia ser executado em qualquer sistema que executasse o Active Directory na sua rede. Essa ferramenta foi desenvolvida e testada em mais de 100 controladores de dominio diferentes e as resoluções dos problemas foram relacionadas aos problemas mais frequentes encontrados nos ultimos 10 anos pela equipe do  Microsoft Customer Support Services.

O Microsoft IT Health Scanner identifica os erros e fornece links para artigos a partir da base de conhecimento da microsoft que explicam como corrigir esses problemas.

Microsoft IT Health Scanner

E o melhor a ferramenta é completamente grátis.

http://go.microsoft.com/fwlink/?LinkID=155170
Faça um boa aproveito.

Fonte: GambWare

Scripts para Facilitar a Implantação e Administração do Active Directory

Marcamos 3 grandes implantações de Active Directory para este mês de Copa do Mundo, então tive que correr para desenvolver Scripts para automatizar minhas tarefas mais trabalhosas, como criação de usuários, Grupos, login script, etc.

Consegui muito material no TechNet e no final desenvolvi um grande Script para automatizar completamente nosso processo de Implantação.

O processo todo consiste em 3 VbScripts:

1. cria_grupos

2. cria_usuarios

3. reseta_senhas

No final do processo, consegui automatizar ests scripts através de uma planilha, com diversas informações:

USERNAME

NOME COMPLETO

LOGIN NAME

DESCRIÇÃO

ESCRITÓRIO

GRUPOS

LOGIN SCRIPT

PASTA BASE DE USUARIO

UNIDADE DE MAPEAMENTO

OU

Todos os Scripts desenvolvidos e alterados, podem ser baixados através deste link.

Ainda no processo de pesquisa, me deparei com o Blog do Glaucio Rocha, onde pude encontrar este POST abaixo, com diversos outros Scripts muito úteis para a Administração do AD. São eles:

1) - Identificar Usuários que não Acessam\Logam no Domínio durante um Período Pré-Definido de Tempo, esse Script trabalha em cima do Atributo LastLogon da Conta.

Faça o Download do Arquivo LastLogon.txt, renomeie o Arquivo para LastLogon.vbs e, em seguida, execute o Comando:

cscript //nologo LastLogon.vbs > output.txt

Execute o Procedimento acima em todos os Controladores de Domínio que você deseja encontrar contas não utilizadas, o Atributo LastLogon não é replicado, por isso temos essa necessidade, executá-lo em todos os DC’s.

2) – O Script abaixo determina quando a última senha do usuário foi definida, diferente do script acima, esse script precisa ser executa em somente um Controlador de Domínio da sua Organização.

Faça o Download do Arquivo PwdLastChanged.txt, renomeie o Arquivo para PwdLastChanged.vbs e, em seguida, execute o Comando:

cscript //nologo PwdLastChanged.vbs “C:\Report.txt”

3) – O Script abaixo Identifica Contas de Computadores no AD que estão Inativas e Move para uma OU que você definir.

Faça o Download do Arquivo MoveOldComputers.txt, renomeie o Arquivo para MoveOldComputers.vbs e, em seguida, execute o Comando:

cscript //nologo MoveOldComputers.vbs

4) – O Script abaixo Mostra todos os SID’s de Computadores do Domínio, exceto Controladores de Domínio. Server também para Identificar Computadores do Domínio com SID’s Duplicado devido a Clone\Imagens sem Executar o Sysprep.

Faça o Download do Arquivo ComputerSIDs.txt, renomeie o Arquivo para ComputerSIDs.vbs e, em seguida, execute o Comando:

cscript //nologo ComputerSIDs.vbs

5) – O Script abaixo possibilita o Reset da Senha do Usuário Local Administrador (Administrator) nos Computadores do Domínio.

Faça o Download do Arquivo ResetLocalAdminPwds.txt, renomeie o Arquivo para ResetLocalAdminPwds.vbs e, em seguida, execute o Comando:

cscript //nologo ResetLocalAdminPwds.vbs

Servidor OpenFire + Spark

OpenFire é um servidor de mensagem instantãnea que oferece diversos recursos, pode facilmente ser integrado com o Active Directory e possui Plugins para conectar com o MSN, GTalk, ICQ, Yahoo e entre outros, para tal ele conta com o Spark que se autentica no OpenFire e disponibiliza os recursos aos usuários podendo assim gerenciar seus contatos com os usuários de rede e com o seu Instant Messenger de preferência.

Os arquivos para download podem ser encontrados no Site Oficial:
IginiteRealTime
Iniciando a Instalação do OpenFire 3.6.0a
01
Execute o arquivo ( openfire_3_6_0a.exe )
02
Selecione a linguagem Portuguese e clique em OK
03
Clique em Avançar
04
Aceite as Condições de Utilização e clique em Avançar
05
Defina o Local de instalação e clique em Avançar
06
Aguarde o processo de instalação ser finalizado
07
Clique em Terminar para executar o OpenFire
08
Clique em Launch Admin para realizar as configurações via Web
09
Ao acessar http://server:9090 selecione a Linguagem e clique em Continue
10
Informe o nome do Domínio e clique em Continuar
11
Selecione o Banco de Dados Internoclique em Continuar
12
Para integrar com o Active Directory selecione Servidor de Diretórios (LDAP), caso contrário selecione o modo Padrão para que o OpenFire gerencie os usuários, optei em mostrar pelo Active Directory pois é mais funcional para o Administrador de Redes dentro da empresa
13

Tipo de Servidor: Active Directory
Host: dc-01-s ( Informe o seu DomainController )
DN Base : ou=”OpenFire”, dc=”server”, dc=”com”, dc=”br”

DN Administrator: marcos@server.com.br ( Usuário Adm do OpenFire )
Senha: *********

14

Mova a barra de rolagem ate o final da página e clique em Salvar & continuar( não a necessidade de configurar a etapa 2 )

15

Clique em Salvar & continuar ( não a necessidade de configurar a etapa 3 )

16

Informe o usuário Administrador do OpenFire e clique em Adicionar

17

Confirme o usuário Administradorclique em Continuar

18

Clique no botão Loge-se no console de administração

19

Informe o Usuário/Senha do Administrador do OpenFire e clique em Login

20

Logon realizado com sucesso, agora basta explorar o OpenFire

21

Para instalar os Plugins dos Instant Messenger ( MSN, GTalk, etc… ), clique em Plugins > Procurar

22

Os plugins podem se baixados no site ( IginiteRealTime ), o plugin que disponibiliza o acesso as Instant Messenger é o gateway.jar

23

Clique em Upload Plugin

24

Upload realizado com sucesso !!!

25

Dê um Stop/Start no OpenFire e acesse o OpenFire > Servidor > Gateways

26

Selecione o MSN Messenger > Testes > Testar Conexão

Iniciando a Instalação do Spark 2.5.8 nas máquinas dos Usuários
01
Execute o arquivo ( spark_2_5_8.exe )
02
Clique em Next
03
Selecione o local de instalação e clique em Next
04
Defina um nome de exibição e clique em Next
05
Defina a criação dos ícones e clique em Next
06
Aguarde o processo de instalação
07
Clique em Finish para executar o Spark
08
Insira o Usuário/Senha do Dominio para Logar no Spark
09
Após Logar Adicione um Contato
10
Informe o Usuário que participa da mesma OU no AD e clique em Add
11
Ficará em Pending ate que o usuário Open Fire aceite o convite
12
O usuário Open Fire aceitou o usuário Marcos Henrique
13
Acessando o MSN Messenger, Clique sobre o ícone do MSNEnter login
14
Informe o Usuário/Senha do MSN e clique em Save
15
Conexão com o MSN Messenger realizada com sucesso
Conclusão
Tanto o OpenFire como o Spark possuem diversos recursos agora com a instalação concluída basta explorá-los.

Tutorial de Migração Dominio Windows 2000 para Windows 2008

Atendendo a pedidos, consegui este super tutorial (100% testado e aprovado) no Blog do Helton Oliveira

Todos os passos para migração de um DC Windows 2000 para Windows 2008, muito útil.

Começando:

O primeiro passo a ser realizado no inicio da migração do dominio, é preparar o dominio para suportar o Windows 2008 e deixar o Dominio em “MODO NATIVO”.

- Insira a midia de instalação do Windows 2008, no servidor Windows 2000.

- Atraves do Prompt do MS-DOS, entre no diretório abaixo e execute o arquivo adprep.exe:

 

D:\sources\adprep\adprep.exe / forestprep

Após aparecer a tela de aviso do Adprep, digite a tela C e ENTER.

Para migrar as GPO´s, devemos digitar o comando:

D:\sources\adprep\adprep.exe /domainprep /gpprep

Preparação do novo DC com Windows 2008.

O novo servidor deverá estar no domínio.

Devemos após essa tarefa, instalar as Roles do Active Directory no novo servidor.

Agora precisamos promover esse servidor como Domain Controller. 

Vamos ate o menu “ Executar” e digitamos o comando DCPROMO.

Devemos deixar o wizard instalar o Serviço DNS e o Global Catalog Server.

Visualização do Active Directory no Windows Server 2008, com os dois controladores de dominio. 

Agora devemos transferir as FMOS do Servidor com Windows Server 2000 para o novo Servidor com o Windows Server 2008.

Vamos ao Active Directory, clicando com o botão direito do mouse no nosso “domínio de rede” e depois na opção “Mestre de Operações”.

Depois altere o RID e PDC para o ser novo servidor com o “Windows Server 2008”.

O ultimo passo para migras as FMOS seria tirar o nosso antigo Domain Controller “Windows Server 2000” da função de Global Catálog Server. 

Vamos no Active Directory Sites and Services e desmarcamos a opção de Global Catalóg Server do antigo servidor.

Agora para finalizar o processo, precisamos despromover o nosso antigo Domain Controller com o Windows Server 2000.

Devemos usar praticamento o mesmo processo que usamos para promover um servidor a Domain Controller.

Vamos no Menu “Executar”, do nosso Windows Server 2000 e digitamos DCPROMO.

Depois de todos esses passos o nosso velho servidor Windows Server 2000, fica apenas como membro do domínio e o Servidor 2008 já é o novo PDC.

Créditos: Helton Oliveira