Índice:
Vídeo: Windows Server 2012 - Criando auditoria de acesso a objetos 2024
Mover objetos ao redor no Active Directory pode envolver mover objetos de um local para outro dentro de um domínio, ou você pode ter que mover objetos de um domínio para outro. Você precisa saber os detalhes associados a qualquer operação para o exame MCSE Directory Services. Felizmente, você precisa lembrar algumas regras simples.
Movendo objetos dentro de um domínio
Movendo objetos dentro de um domínio é um processo simples: basta clicar com o botão direito do mouse no objeto e escolher Mover. O Windows 2000 exibe uma caixa de diálogo na qual você simplesmente escolhe o objeto de recipiente de destino para o movimento. (Nas versões mais recentes do Windows 2000, você pode arrastar e soltar objetos do Active Directory de uma OU para outra.)
Um exemplo do mundo real de mover um objeto dentro de um domínio envolve mover uma conta de usuário de uma OU para outra quando o usuário transfere de um departamento para outro em sua organização. Ao mover a conta do usuário, o usuário pode receber os benefícios e as restrições que definiu para a nova OU.
O que não é tão direto (e o que você precisa saber para o exame) é o efeito que os objetos em movimento têm nas permissões. Aqui estão as regras que você deve saber:
- As permissões que você atribuir diretamente a um objeto do Active Directory permanecem com o objeto depois de mover o objeto.
- O objeto herda as permissões atribuídas à nova OU e perde as permissões anteriormente herdadas.
Talvez você já tenha descoberto esta: uma excelente estratégia para administrar objetos do Active Directory é mover objetos que precisam de configurações de permissão semelhantes na mesma OU. Ao fazê-lo, você pode gerenciar facilmente sua rede, atribuir permissões e delegar autoridade de forma eficaz com apenas alguns cliques no mouse.
Movendo objetos entre domínios
Em uma floresta do Windows 2000 de vários domínios, talvez seja necessário mover objetos (usuários, unidades organizacionais, grupos) entre esses vários domínios. Você usa o utilitário de linha de comando MOVETREE para executar muitas dessas operações.
Quando você move usuários e grupos para um novo domínio, eles recebem novos identificadores de segurança (SIDs). Felizmente, o Windows 2000 executado no modo nativo suporta um atributo chamado SIDHistory. À medida que você move um usuário de domínio para domínio, o Windows 2000 preenche SIDHistory para que você não precise redefinir permissões para objetos sempre que você executar a operação de movimentação.
O MOVETREE ajuda você com a maioria das operações de movimentação entre domínios. E naqueles casos para os quais o MOVETREE não pode fazer o trabalho, você pode recorrer a outro utilitário chamado NETDOM.MOVETREE pode
- Mover a maioria dos objetos do Active Directory (incluindo recipientes não vazios) de um domínio para outro na mesma floresta.
- Mover grupos locais e globais de domínio entre domínios. No entanto, esses grupos não podem conter membros. Os domínios devem existir dentro da mesma floresta.
- Mova grupos universais e seus membros entre domínios da mesma floresta.
MOVETREE pode mover mais objetos do Active Directory. Aqueles que não podem se mover quando você tenta mudar os grupos de objetos se tornam órfãos . O Windows 2000 coloca esses objetos órfãos em um recipiente especial chamado LostAndFound. Você pode visualizar este contêiner usando o recurso Visão Avançada dos Usuários e Computadores do Active Directory.
Você deve ter as permissões administrativas apropriadas para usar MOVETREE a partir do prompt de comando. Este comando usa a seguinte sintaxe:
MOVETREE {/ start | / startnocheck | / continue | / check} / s SrcDSA / d DstDSA / sdn SrcDN / ddn DstDN [/ u [ Domínio ] Nome de usuário / p Senha ] [/ verbose] [{/? | / help}]
As entradas em itálico nesta sintaxe representam a informação que você deve fornecer. A Tabela 1 descreve os switches que você pode usar com o comando MOVETREE.
Tabela 1 Comutadores de Comando MOVETREE
|
Comutador |
O que é |
|
/ start |
Inicia a operação de movimento. |
|
/ startnocheck |
Inicia uma operação MOVETREE com não / check. |
|
/ continue |
Continua a execução de uma operação MOVETREE anteriormente pausada ou falhada. |
|
/ check |
Executa uma execução de teste da operação MOVETREE. |
|
/ s SrcDSA |
Especifica o nome de domínio totalmente qualificado (FQDN) do servidor de origem. |
|
/ d DstDSA |
Especifica o FQDN do servidor de destino. |
|
/ sdn SrcDN |
Especifica o nome distinto do objeto que você está movendo da fonte. |
|
/ ddn DstDN |
Especifica o nome distinto do objeto que você está movendo para o destino. |
|
/ u |
Executa MOVETREE sob as credenciais do nome de usuário e senha fornecidos. |
|
/ verbose |
Faz com que o MOVETREE exiba mais detalhes à medida que ele é executado. |
|
/? |
Exibe ajuda sobre MOVETREE. |
MOVETREE cria arquivos de log quando as operações são executadas. Você pode verificar esses arquivos de log para obter informações sobre o sucesso ou a falha de eventos MOVETREE:
- MOVETREE. ERR: lista todos os erros encontrados.
- MOVETREE. LOG: lista os resultados estatísticos da operação.
- MOVETREE. CHK: lista todos os erros detectados no MOVETREE sendo executados no modo de verificação.
MOVETREE move objetos de computador de um domínio para outro para você, mas não pode disjuncionar o computador do domínio de origem e juntá-lo ao domínio de destino. Essa limitação torna o NETDOM um utilitário muito melhor para mover computadores entre domínios em uma configuração do Windows 2000 Active Directory.
NETDOM usa a seguinte sintaxe para mover contas de computador:
MOVETREE {/ NETDOM move / D: domínio [/ OU: ou_path ] [/ Ud: Usuário / Pd: { Senha | *}] [/ Uo: Usuário / Po: { Senha | *}] [/ Reiniciar: [ time_in_seconds ]]
A Tabela 2 descreve os switches que você usa com o comando NETDOM.
Tabela 2 Comutadores de Comando NETDOM
|
Alternar |
O que é |
|
/ domínio |
Identifica o domínio de destino. |
|
/ OU: ou_path |
Especifica a OU de destino. |
|
/ Ud: Usuário |
Indica a conta de usuário utilizada para estabelecer a conexão com o domínio de destino. |
|
Pd: {Senha | *} |
Insere a senha da conta de usuário usada para se conectar ao domínio de destino; Se você usar *, o NETDOM solicita a senha. |
|
/ Uo: Usuário |
Identifica a conta de usuário usada para estabelecer a conexão com o domínio de origem. |
|
/ Po: {Senha | *} |
Inicia a senha da conta de usuário usada para se conectar ao domínio original; Se você usar *, o NETDOM solicita a senha. |
|
/ Reiniciar: [time_in_seconds] |
Especifica que o computador que está sendo movido deve desligar e reiniciar automaticamente no número dado de segundos após a operação de movimentação. |
