Olá pessoal, tudo bem?

Já demostrei a implantação de como adicionar um novo controlador de domínio e como criar uma floresta do Active Directory pelo Powershell agora chegou a vez de demostrar como criar um controlador de domínio RODC pelo Powershell.

 

Controlador de domínio RODC

 

 

 

 

O RODC (Read-Only Domain Controller) é um recurso valioso introduzido com o Windows Server 2008, projetado para manter um controlador de domínio em locais onde a segurança física e a manutenção não podem ser garantidas.

Neste artigo, exploramos diversos cenários nos quais é necessário implementar um controlador de domínio em um site remoto.

Ao considerarmos a instalação de um controlador de domínio em um site remoto, não devemos focar apenas na conectividade do link entre os sites. Quando um controlador de domínio é implantado, por padrão, ele se torna sensível a qualquer mudança na estrutura do Active Directory. Assim, ele atualiza a sua própria cópia do banco de dados do Active Directory, conhecido como “ntds.dit”. Esse arquivo contém informações cruciais sobre a infraestrutura do Active Directory, incluindo dados de identidade de usuários. Se esse arquivo cair em mãos erradas, é possível recuperar informações relacionadas às identidades e comprometer toda a infraestrutura de identidade.

Portanto, ao abordarmos a segurança da informação, também é fundamental considerar a segurança física. Os datacenters, por exemplo, possuem rigorosos padrões de segurança para proteger seus ativos. Da mesma forma, ao implantarmos um controlador de domínio em um site remoto, devemos levar em conta a segurança física, a fim de não deixar brechas na proteção.

Se há a necessidade de um controlador de domínio no site remoto, mas ainda não é possível garantir sua segurança adequada, o RODC é a solução ideal. O RODC não armazena senhas em seu banco de dados; em vez disso, encaminha todas as solicitações de autenticação para o controlador de domínio gravável mais próximo, garantindo uma camada adicional de segurança para as credenciais de usuário.

Se tratando de ambiente que não é possível garantir sua segurança adequada também recomendo que o controlador de domínio RODC também seja implantado usando uma versão do Windows Server Core, afinal os servidores controladores de domínio são os servidores mais importante da sua organização e a versão do Windows Server core tem várias vantagens, ocupa menor espaço em disco, menos superfície de ataque e atualizações menores, tudo isto por não possuir interface gráfica (GUI).

Por isto a intenção deste artigo e demostrar como implantar o controlador de domínio RODC utilizando apenas o Powershell, mas mesmo sem interface gráfica ele pode ser implantado de formar remota pelo RSAT (Remote Server Administration Tools).

Implantação do RODC pela Central Administrativa do Active Directory

 

Fluxo implantação do RODC

 

Uma implantação de controlador de domínio somente leitura (RODC) e feito em duas fases distintas:

1. Preparação de uma conta de computador vazia.

2. Vinculação de um RODC a essa conta durante a promoção.

O diagrama abaixo representa o processo de preparação de um Controlador de Domínio Somente Leitura no ambiente dos Serviços de Domínio do Active Directory, onde é criada uma conta de computador RODC sem atribuições no domínio, utilizando o Centro Administrativo do Active Directory (Dsac.exe).

A figura apresentada representa a sequência de etapas para configurar os Serviços de Domínio do Active Directory (AD DS). Nesse processo, a função AD DS já foi instalada, a conta RODC foi preparada e a promoção do servidor foi iniciada para transformá-lo em um controlador de domínio. Essas ações foram executadas por meio do Gerenciador do Servidor para criar um RODC em um domínio já existente, associando-o à conta de computador previamente preparada.

Implantar o RODC pelo Powershell

A instalação de um novo controlador de domínio RODC não é diferente. Todos os paramentos que são necessários para execução da instalação por interface gráfica também podem ser utilizados pelo Powershell. As imagens demostradas abaixo e só uma pequena amostra da configuração de implantação de um novo controlador de domínio RODC, demostrando o comparativo das opções disponíveis na interface gráfica e Powershell. Você pode conferir essa explicação mais detalhada neste link aqui.

Pré-criar uma conta de controlador de domínio somente leitura

Credenciais de rede

Especifique o nome do computador

Selecione o site

Opções adicionais de controlador de domínio

Especificar a política de replicação de senha

Delegação de Instalação e Administração do RODC

 

GitHub

 

 

 

 

Todos os comandos apresentados no vídeo podem acessados aqui.

 

Vídeo

 

 

 

 

Neste vídeo, aprenda como adicionar um novo controlador de domínio RODC (Read-Only Domain Controller) do Active Directory usando o Powershell. O tutorial abrange o processo passo a passo, incluindo a verificação dos pré-requisitos para a instalação do controlador de domínio e a instalação da função de Active Directory Domain Services. Além disso, você aprenderá como criar a conta RODC necessária para a instalação do controlador de domínio RODC. O vídeo também aborda a validação do controlador de domínio RODC e como obter e gerenciar a lista permitida ou negada da política de replicação de senha usando o Powershell. Ao seguir o tutorial, você estará apto a adicionar usuários, computadores, grupos ou outras contas à lista permitida ou negada da diretiva de replicação de senha do controlador de domínio RODC do Active Directory. Dê um passo adiante em suas habilidades de administração de domínios com este guia prático e completo.

Referências

 

 

 

 

https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/deploy/rodc/install-a-windows-server-2012-active-directory-read-only-domain-controller–rodc—level-200-?WT.mc_id=5003815

https://learn.microsoft.com/en-us/powershell/module/servermanager/install-windowsfeature?view=windowsserver2022-ps&WT.mc_id=5003815

https://learn.microsoft.com/pt-br/powershell/module/addsdeployment/test-addsreadonlydomaincontrolleraccountcreation?view=windowsserver2022-ps&WT.mc_id=5003815

https://learn.microsoft.com/pt-br/powershell/module/addsdeployment/add-addsreadonlydomaincontrolleraccount?view=windowsserver2022-ps&WT.mc_id=5003815

https://learn.microsoft.com/pt-br/powershell/module/microsoft.powershell.core/import-module?view=powershell-7.3&WT.mc_id=5003815

https://learn.microsoft.com/en-us/powershell/module/addsdeployment/test-addsdomaincontrollerinstallation?view=windowsserver2022-ps&WT.mc_id=5003815

https://learn.microsoft.com/en-us/powershell/module/addsdeployment/install-addsdomaincontroller?view=windowsserver2022-ps&WT.mc_id=5003815

https://learn.microsoft.com/en-us/powershell/module/microsoft.powershell.management/get-service?view=powershell-7.2&WT.mc_id=5003815

https://learn.microsoft.com/en-us/powershell/module/activedirectory/get-addomaincontroller?view=windowsserver2022-ps&WT.mc_id=5003815

https://learn.microsoft.com/en-us/powershell/module/activedirectory/get-addomain?view=windowsserver2022-ps&WT.mc_id=5003815

https://learn.microsoft.com/en-us/powershell/module/activedirectory/get-adforest?view=windowsserver2022-ps&WT.mc_id=5003815

https://learn.microsoft.com/en-us/powershell/module/smbshare/get-smbshare?WT.mc_id=5003815

https://learn.microsoft.com/en-us/powershell/module/activedirectory/get-addomaincontrollerpasswordreplicationpolicy?view=windowsserver2022-ps&WT.mc_id=5003815

https://learn.microsoft.com/en-us/powershell/module/activedirectory/add-addomaincontrollerpasswordreplicationpolicy?view=windowsserver2022-ps&WT.mc_id=5003815

https://learn.microsoft.com/en-us/powershell/module/activedirectory/remove-addomaincontrollerpasswordreplicationpolicy?view=windowsserver2022-ps&WT.mc_id=5003815

 

Não perca as novidades!

Inscreva-se no meu canal do YouTube e ative o sino de notificações para ficar por dentro de tudo!

No responses yet

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Microsoft MVP
Siga e curta!
Follow by Email
YouTube
YouTube
Set Youtube Channel ID
LinkedIn
LinkedIn
Share
Entre no meu grupo do Telegram
Categorias
Arquivo
Inteligência artificial em seu servidor.