Uma das limitações encontradas no Active Directory do Windows Server 2000 e 2003 era que a nível de domínio, era possível especificar apenas 1 política de senhas (quando digo política, me refiro à complexidade, tamanho, tempo de vida mínimo e máximo, especificações de lockout, etc).

Algumas vezes, dependendo de políticas de segurança ou necessidade das empresas, era necessário criar-se um domínio adicional apenas para "implementar" uma solução de múltiplas políticas de senha.

No Windows Server 2008, há um recurso muito interessante chamado "Fine-Grained Password Policies", que na verdade, significa justamente isto: a possibilidade de se implementar múltiplas políticas de senha para usuários de domínio em um mesmo domínio.

Essa nova característica trabalha basicamente com dois novos objetos no schema do AD: PSC (Password Settings Container) e PSO (Password Settings Object).

Você pode criar múltiplos objetos de senha e "linkar" em usuários ou grupos (notem, usuários ou grupos e nào OUs - Organization Units).

Assim, dependendo do grupo que pertence, o usuário pode aplicar uma ou outra política. Logicamente, há um controle de "conflitos", via configuraçào de precedencia e tudo mais.

A idéia é dar flexibilidade ao administrador de rede e permitir que ele consiga implementar este recurso em domínios Windows Server 2008 (este é um pré-req == o domínio deve estar em modo Nativo Windows Server 2008).

Para maiores informações e como se implementar tal recurso, aconselho o artigo AD DS: Fine-Grained Password Policies

Pessoal,

Um dos itens que necessita de bom entendimento para planejamento e implementação é a replicação do Active Directory.

Introduzido com o Windows Server 2000, o AD é um modelo de base multi-master de replicação, diferente do bom e velho NT 4.0, onde havia apenas 1 servidor responsável pelas alterações da BASE (PDC) e outros servidores somente controle (BDCs)

No modelo multimaster, todos os Domain Controllers podem receber e processar alterações (tais como, inclusão de objetos, alterações de senha, exclusões, etc) e por isso, é necessário haver um algorítmo para processamento da replicação dos dados entre esses servidores e resolução de conflitos.

O artigo Um guia para a replicação do Active Directory , publicado na Technet Magazine de Outubro contém um artigo bem explicativo, com exemplos, que mostra e explica como a replicação do AD funciona, e menciona também como esta será afetada com a inclusão, no Windows Server 2008, doRODC - Read Only Domain Controllerr, Domain Controller Somente-leitura.

Vale a pena revisar !

Pessoal,

Estou, desde ontem, iniciando minha preparação para as palestras do Teched Brasil 2007 que estarei proferindo (em breve farei um post sobre isto ;-)), e encontrei um artigo muito interessante que recomendo a leitura:

How to improve Windows Terminal Services Performance

Este artigo, dividido em seções, abrange desde configurações de hardware (como por exemplo o porquê do uso de x64, como otimizar memória, disco, etc) até configurações a nível de client RDP. É bem interessante e vale até mesmo criar um "checklist" baseado nas orientações para que todas as implementações de TS possam ser de boa qualidade e com boa performance.

[]'s

Pessoal,

A Microsoft já algum tempo possui uma ferramenta que auxilia na criação de desenhos e diagramas em Visio de topologia do Active Directory e Exchange e agora há uma versão pública.

Chama-se "Microsoft Active Directory Topology Diagrammer".

É simplesmente uma "mão na roda". Basta que você o execute, escolha quais parâmetros deseja "desenhar" (como por exemplo, estrutura de OUs, Conectores de Exchange, Site e Services, etc) e ele cria automaticamente o desenho no formato Visio pra você.

Experimento (pré-requisito: pelo menos o Visio 2003)

Preparando minhas últimas apresentações e eventos (inclusive já me preparando para apresentar algumas palestras no Teched Brasil 2007), me deparei com algumas "siglas' ou acrônimos que muitas vezes já são usados algum tempo, e outro, nem tanto. Assim, neste post, resolvi sumarizar algum deles para que possamos criar uma "lista amigável" de "sopa de letrinhas". Aqui vai:

• ACL (Access Control List) = conjunto de permissões (pode ser a nível de arquivos ou objetos do AD) que define quais grupos ou usuários possuem direitos ou permissões de escrita, leitura, etc em determinado objeto
• AD (Active Directory) = Diretório Ativo, base LDAP Microsoft que se torna repositório de objetos, como contas de computadores, usuários, senhas, grupos de uma organização. Fisicamente, um arquivo ntds.dit em disco armazena todas essas informações
• AD DB (Active Directory Database)
• AD FS (Active Directory Federation Services) = Serviço de Federação Microsoft, disponível desde o Windows Server 2003 R2 que permite que empresas ou organizaçòes diferentes "conectem" seus diretórios para prover acesso a recursos baseados em web (extranets, por exemplo), providenciando uma experiência de logon único
• AD LDS (Active Directory Lightweight) = Conhecido como ADAM (Active Directory Application Mode), mudou de nome agora no Windows Server 2008 e seu propósito é providenciar uma base LDAP à desenvolvedores para que estes possam integrar seus softwares e armazenar dados em tais bases
• AD Restartable = Nova feature do Windows Server 2008, onde o AD agora é um serviço do Windows e pode via interface gráfica ou linha de comando, ser parado e inicializado sem a necessidade de reboot do servidor e sem impactar outros serviços, tais como file e print services.
• AD RMS (Active Directory Right Management Services) = O bem conhecido RMS, utilizado para proteger arquivos e informações (exemplo: envie um email à organização e não permite que nenhum funcionário encaminhe ou imprima o email), agora é um componente do AD Services no Windows Server 2008
• DA (Domain Administrator) = Conta no domínio que pertence ao grupo "Domain Admins", que possui direitos administrativos sobre um domínio Active Directory
• DFS-R (Distributed File System - Replication) = Versão 2.0 do DFS, introduzido no Windows 2000 Server, para replicação de arquivos entre file servers (e agora, da pasta SYSVOL do Windows Server 2008)
• DC (Domain Controller) = Servidor responsável por ter uma cópia da base do Active Directory, leitura/gravação
• FQDN (Fully Qualified Domain Name) = Estrutura de nomenclatura DNS, que providencia resolução de nomes em níveis hierárquicos. Toda a resolução de nomes do AD é baseada em DNS
• FRS (File Replication Service) = Sistema de replicação de arquivos, usado para pasta SYSVOL de Controladores de Dominio. Esta pasta possui por exemplo, os settings de políticas de grupos, que devem estar disponíveis em todos os Controladores do domínio
• GNZ (GlobalNames Zone) = Zona especial de DNS usada para resolução de nomes "single-label" ou FLAT - o modelo do WINS. Esta zona tem por objetivo providenciar o mesmo mecanismo de resolução de nome WINS para que não seja necessário manter esse serviço em funcionamento por causa de uma aplicação que depende disto.
• GPO (Group Policy Object) = Objeto do AD que providencia políticas de grupo para estações de trabalho ou servidores. Como por exemplo, definir um papel de parede padrão
• GPMC (Group Policy Management Console) = interface gráfica distribúida gratuitamente para edição e troubleshooting de GPO's
• IFM (Install from Media) = via ntdsutil.exe, criar uma cópia da base do AD para ser usada durante o processo de DCPROMO em outro Domain Controller (em um escritório remoto, por exemplo)
• KDC (Key Distribution Center) = sistema de geração de tickets em uma rede kerberos, que faz a criação de tokens de acesso
• MLGPO (Multiple Local Group Policy Objects) = novo recurso disponível no Windows Server 2008, permite que você crie múltiplas GPOs a nível de máquina local (até o Windows Server 2003, restrito a apenas 1 Local Policy)
• RODC (Read Only Domain Controller) = Controlador de Domínio somente leitura, novo recurso do Windows Server 2008
• SSO (Single Sign-on) - Recurso para providenciar experiência melhor ao usuário, que ao invés de ter que se lembrar de múltiplas contas e senhas, existe um sistema que faz toda essa integração por ele
• SYSVOL (System Volume)