Guia de Estudo para Certificação MCTS 70-640, capítulo 1 ao 5

      Segue um guia de estudos para interessados em fazer a prova MCTS 70-640 Windows Server 2008, Active Directory, com base no livro Training Kit Exam 70-640

Cap 1 – Instalação do ADDS

·      Conceitos do AD: Florestas, Árvores e domínios

o   Floresta: todos os domínios da floresta compartilham um esquema único

o   Árvore: contém domínios com espaço de nome contínuo (danilo.com ; blog.danilo.com) e na mesma floresta

o   Domínio: é uma fronteira de segurança. Existem sempre um ou mais servidores com Windows Server 2008 que executam a função de controlador do domínio.

·      Objetos:

o   Containers -> criados pelo S.O. : Users, Computers, etc

·        ü  Visualiza pelo AD Users and Computers

·        ü  Você não pode aplicar Group Policy

·        ü  Você não pode criar containers filho

·        ü  São identificados por CN= no Distinguish Name

o   OUs

·        ü  Visualiza pelo AD Users and Computers

·        ü  Você pode aplicar Group Policy

·        ü  Você pode criar OUs filho

·        ü  São identificados por OU= no Distinguish Name

·        ü  Você pode ter estruturas de OU por localidade, por departamento ou híbridas

·        ü  Estrutura de OU deve facilitar a administração do domínio e não necessariamente reflete o organograma da empresa

·        ü  OU Domain Controllers é criada por padrão pelo S.O.

·      Passos para instalar um controlador de domínio

o   Lembrar que no Windows 2008, pode-se instalar em partes: role  ADDS depois o dcpromo

o   Server Core pode ser instalado como controlador de domínio, Nesse caso o dcpromo deve ser executado com instalação automatizada /unattend

o   Níveis funcionais de Domínio e de Floresta (slides MOAC 70640 Cap 1 e 2), incluindo do Windows 2008 R2.

o   Em que níveis posso usar que versões do Windows Server.

o   Como aumentar o nível funcional do domínio e da floresta

o   RODC – Read Only Domain Controller – nova funcionalidade no Windows 2008

o   Convenção de nomes do AD: Nome distinto identifica o objeto unicamente na árvore do AD (ex: cn=John,ou=Usuarios,dc=contoso,dc=com)

o   Relações de confiança (trusts) bidirecionais e transitivas são criadas automaticamente entre os domínios pais e filhos do AD e também entre os domínios raiz de árvores do AD que estão na mesma floresta.

Cap 2 – Administração do ADDS

·      Função do console Server Manager

·      Registros DNS: Funções de Aging (Duração) e Scavenging (Eliminação)

·      Como exibir o snapin Active Directory Schema para gerenciar o esquema do AD (registrar schmmgmt.dll)

·      Console MMC

·      Como criar objetos no ADDS: usuários, grupos, OUs -> ver atividades práticas

·      o conceito de CN e DN deve estar entendido pg 60 do ebook . O DN localiza unicamente um objeto na árvore de diretório.

·      Como delegar administração usando o assistente de delegação de controle (Delegation of Control Wizard) pg. 74 do ebook

·      A herança de permissões do ADDS segue o mesmo esquema de herança das permissões do NTFS. Ver dica de exame pg 74 do ebook

Cap 3 – Administrando usuários

·      Como criar e modificar contas de usuário

o   Via interface gráfica, via linha de comando (dsadd, dsmod, dsquery, csvde, ldifde, etc) ou via scripts

o   as ferramentas valem também para grupos e contas de computador.

o   csvde -> só permite criar novos objetos . O ldifde permite também modificar objetos

o   lembrar principais switches para importação e para exportação de objetos

o   Nos DCs não há usuários locais e, portanto, não há o snap in Local Users and Groups -> só posso fazer logon no DC com usuários de domínio

·      Verificar também como fazer buscas no AD com as Saved Queries

·      Lembrar o novo recurso no Win2008 de OUs protegidas e como desativar proteção – pg 47 do ebook 70640

·      Como criar usuários através de um template

Cap 4 – Administrando grupos

·      Diferença entre grupo local e de domínio

·      Tipos de grupo: Segurança e Distribuição

o   Segurança: pode dar permissões de acesso

·      Escopos de grupo:

o   DL, G, Universal

o   Grupos de domínio local: visíveis só no domínio local

o   Grupos globais: visíveis em toda a floresta, mas só aceitam membros do próprio domínio onde foram criados

o   Grupos universais: visíveis em toda a floresta, aceitam membros de qualquer domínio da floresta, mas só disponíveis pelo menos em modo nativo do Windows 2000 (DCs 2000 e/ou 2003 e/ou 2008, não pode haver DCs Windows NT) e também apresentam questões de replicação, pois a participação em grupo universal é replicada para os servidores de catálogo global. Por isso, a participação em grupo universal deve ser mantida a menor possível e com o menor número de alterações possível.

o   Estratégias de grupo: A-> G -> DL -> P e A-> G -> G -> U -> DL -> P 

o   A = contas de usuário ; P = concedo permissões

o   Lembrar que Universal só em modo nativo Windows 2000, pelo menos

o   Lembrar dos modos de operação -> afetam comportamento dos grupos

o   Criação/modificação de grupos

o   Via interface gráfica, via linha de comando (dsadd, dsmod, csvde, ldifde, etc) ou via scripts

Cap 5 – Administrando contas de computador:

·      O que faz a conta de computador

·      Como adicionar uma conta de computador ao domínio

·      criar previamente usando ADUC, dsadd, netdom ou durante a instalação

·      adicionar informando usuário com permissões de adicionar computador ao domínio        

·      Qualquer usuário do domínio pode adicionar até 10 contas de computador por default

·      Como permitir a adição de mais contas de computador

·      Locais padrão onde as contas de computador são armazenadas: container Computers e OU Domain Controllers          

·      Lembrar das diferenças entre OU e container, mais acima

·      Diferença entre remover, desativar e resetar uma conta de computador

·      dsmod e dsrm e dsquery para remover/modificar/consultar contas de computador.

fonte: Professor Rogério Melo