Olá pessoal, tudo bem?
Já demostrei a implantação de como adicionar um novo controlador de domínio e como criar uma floresta do Active Directory pelo Powershell agora chegou a vez de demostrar como criar um controlador de domínio RODC pelo Powershell.
Controlador de domínio RODC
O RODC (Read-Only Domain Controller) é um recurso valioso introduzido com o Windows Server 2008, projetado para manter um controlador de domínio em locais onde a segurança física e a manutenção não podem ser garantidas.
Neste artigo, exploramos diversos cenários nos quais é necessário implementar um controlador de domínio em um site remoto.
Ao considerarmos a instalação de um controlador de domínio em um site remoto, não devemos focar apenas na conectividade do link entre os sites. Quando um controlador de domínio é implantado, por padrão, ele se torna sensível a qualquer mudança na estrutura do Active Directory. Assim, ele atualiza a sua própria cópia do banco de dados do Active Directory, conhecido como “ntds.dit”. Esse arquivo contém informações cruciais sobre a infraestrutura do Active Directory, incluindo dados de identidade de usuários. Se esse arquivo cair em mãos erradas, é possível recuperar informações relacionadas às identidades e comprometer toda a infraestrutura de identidade.
Portanto, ao abordarmos a segurança da informação, também é fundamental considerar a segurança física. Os datacenters, por exemplo, possuem rigorosos padrões de segurança para proteger seus ativos. Da mesma forma, ao implantarmos um controlador de domínio em um site remoto, devemos levar em conta a segurança física, a fim de não deixar brechas na proteção.
Se há a necessidade de um controlador de domínio no site remoto, mas ainda não é possível garantir sua segurança adequada, o RODC é a solução ideal. O RODC não armazena senhas em seu banco de dados; em vez disso, encaminha todas as solicitações de autenticação para o controlador de domínio gravável mais próximo, garantindo uma camada adicional de segurança para as credenciais de usuário.
Se tratando de ambiente que não é possível garantir sua segurança adequada também recomendo que o controlador de domínio RODC também seja implantado usando uma versão do Windows Server Core, afinal os servidores controladores de domínio são os servidores mais importante da sua organização e a versão do Windows Server core tem várias vantagens, ocupa menor espaço em disco, menos superfície de ataque e atualizações menores, tudo isto por não possuir interface gráfica (GUI).
Por isto a intenção deste artigo e demostrar como implantar o controlador de domínio RODC utilizando apenas o Powershell, mas mesmo sem interface gráfica ele pode ser implantado de formar remota pelo RSAT (Remote Server Administration Tools).
Implantação do RODC pela Central Administrativa do Active Directory
Fluxo implantação do RODC
Uma implantação de controlador de domínio somente leitura (RODC) e feito em duas fases distintas:
1. Preparação de uma conta de computador vazia.
2. Vinculação de um RODC a essa conta durante a promoção.
O diagrama abaixo representa o processo de preparação de um Controlador de Domínio Somente Leitura no ambiente dos Serviços de Domínio do Active Directory, onde é criada uma conta de computador RODC sem atribuições no domínio, utilizando o Centro Administrativo do Active Directory (Dsac.exe).
A figura apresentada representa a sequência de etapas para configurar os Serviços de Domínio do Active Directory (AD DS). Nesse processo, a função AD DS já foi instalada, a conta RODC foi preparada e a promoção do servidor foi iniciada para transformá-lo em um controlador de domínio. Essas ações foram executadas por meio do Gerenciador do Servidor para criar um RODC em um domínio já existente, associando-o à conta de computador previamente preparada.
Implantar o RODC pelo Powershell
A instalação de um novo controlador de domínio RODC não é diferente. Todos os paramentos que são necessários para execução da instalação por interface gráfica também podem ser utilizados pelo Powershell. As imagens demostradas abaixo e só uma pequena amostra da configuração de implantação de um novo controlador de domínio RODC, demostrando o comparativo das opções disponíveis na interface gráfica e Powershell. Você pode conferir essa explicação mais detalhada neste link aqui.
Pré-criar uma conta de controlador de domínio somente leitura
Credenciais de rede
Especifique o nome do computador
Selecione o site
Opções adicionais de controlador de domínio
Especificar a política de replicação de senha
Delegação de Instalação e Administração do RODC
GitHub
Todos os comandos apresentados no vídeo podem acessados aqui.
Vídeo
Neste vídeo, aprenda como adicionar um novo controlador de domínio RODC (Read-Only Domain Controller) do Active Directory usando o Powershell. O tutorial abrange o processo passo a passo, incluindo a verificação dos pré-requisitos para a instalação do controlador de domínio e a instalação da função de Active Directory Domain Services. Além disso, você aprenderá como criar a conta RODC necessária para a instalação do controlador de domínio RODC. O vídeo também aborda a validação do controlador de domínio RODC e como obter e gerenciar a lista permitida ou negada da política de replicação de senha usando o Powershell. Ao seguir o tutorial, você estará apto a adicionar usuários, computadores, grupos ou outras contas à lista permitida ou negada da diretiva de replicação de senha do controlador de domínio RODC do Active Directory. Dê um passo adiante em suas habilidades de administração de domínios com este guia prático e completo.
Referências
https://learn.microsoft.com/en-us/powershell/module/smbshare/get-smbshare?WT.mc_id=5003815
Não perca as novidades!
Inscreva-se no meu canal do YouTube e ative o sino de notificações para ficar por dentro de tudo!
Há 10 anos atuo na área de TI focado em suporte e administração de infraestrutura, especializado em plataformas Microsoft. Tenho grande experiência em troubleshooting, implantação, configuração e administração de funções e recursos de tecnologia Microsoft. Formado em Redes de Computadores pela faculdade Estácio de Sá de Belo Horizonte.
Comecei a compartilhar o meu conhecimento no ano de 2012, fazendo artigos e vídeos para o meu Blog. Em 2017 comecei a escrever artigos para o portal Cooperati.
Sou apaixonado em compartilhar o meu conhecimento. Meu lema é: um conhecimento só é válido quando compartilhado.
No responses yet