Sobre AD (Active Directory)

Como gerar uma lista de contatos no Outlook 2007 baseado nos perfis de usuários do Active Directory em domínios sem Exchange Server?

Uma das vantagens em utilizar um servidor de e-mail como o Exchange Server é que, além do fato de você poder configurar e administrar as contas de e-mail, é também ter a facilidade de possuir uma lista de centralizada (Lista de endereços global) de todos os contatos, que é disponibilizada a todos os usuário que possuem uma conta Exchange configurada em seus clientes de e-mail Microsoft Office Outlook 2007.

Porém, pode ser que sua empresa não possua o Exchange Server e utilize, por exemplo, contas de e-mail disponibilizadas pelo provedor de internet ou por uma empresa de hospedagem.

Neste caso, como gerar uma lista global para todos os usuários, sem ter que cada usuário efetue o cadastro manualmente na lista de contatos do Outlook?

Será descrito abaixo como efetuar essa configuração.

Cenário utilizado:

•             Servidor com Windows Server 2008 com a função AD DS instalada (Active Directory)

•             Estações Windows com Microsoft Office Outlook 2007

•             Todas as instalações feitas com as opções padrão.

Procedimento:

1)            No servidor, acessar o menu Iniciar, Ferramentas Administrativas, Usuários e computadores do Active Directory para ter acesso aos perfis de usuários do domínio (que podem estar na pasta Users ou em uma UO (Unidade Organizacional) criada anteriormente.

2)            Acessar as propriedades de cada usuário e na aba Geral preencher o endereço de e-mail de cada um.

3)            Na estação de cada usuário, abrir o Outlook (de preferência com a conta de e-mail já cadastrada) e acessar o menu Ferramentas, Configurações de Contas. Na aba Catálogos de Endereços, clicar em Novo.

4)            Na janela que se abre, escolher a opção Serviço de Diretório na Internet (LDAP) e avançar.

5)            Na janela seguinte, preencher o nome no servidor e marcar a opção Este servidor requer que eu faça o logon. Serão habilitadas as caixas de texto para preencher o nome de usuário e senha (do domínio, não de e-mail). Também marcar a opção Exigir Autenticação de Senha de Segurança (SPA).

6)            Clicando no botão Mais configurações, será mostrado um aviso que para as configurações terem efeito será necessário reiniciar o Outlook após o processo. Na nova janela aberta, na aba Conexão especificar o nome do catálogo de endereço (por exemplo, Lista de e-mails da empresa). Na aba Pesquisar, marcar também a opção Habilitar Procura. Clicar nos botões Aplicar e OK.

7)            Voltando à janela anterior, clicar em Avançar e depois Concluir.

8)            Feche o Outlook e abra novamente.

9)            Para conferir se a configuração foi bem-sucedida, abra o Catálogo de Endereços e veja se a lista criada é exibida e se os endereços de e-mails dos usuários são mostrados.

10)         Se a opção Habilitar Procura foi marcada, será possível realizar pesquisas baseadas em diversos atributos dos usuários, como Nome, Sobrenome,  Cargo e Departamento, desde que estes tenham sido preenchidos no perfil do usuário no Active Directory.

Obs: Poderíamos também gerar uma planilha com as informações e fazer o preenchimento dos campos (item 2) ou mesmo usar outras ferramentas disponíveis atualmente, como o FIM (Forefront Identity Manager).

 

 

 

——————————————————————————————–

Migração de Samba para Active Directory

Conseguimos provar em Laboratório que é possível realizar uma migração de um diretório baseado em Linux (Samba) para Active Directory, sem desenvolver nenhum tipo de script para importar as informações de um ambiente para o outro. E melhor, sem gerar impactos para o usuário!

Utilizando a ferramenta ADMT 3.0 conseguimos migrar todos os objetos para o Active Directory, baseado em Windows Server 2003.

Nota: Não conseguimos sucesso na utilização da versão 3.1 da ferramenta ADMT para migrar os objetos do Samba para um Active Directory baseado em Windows Server 2008. Portanto, crie um AD baseado na versão Windows 2003 e use o ADMT 3.0. Após a finalização da migração e término da convivência dos ambientes Samba e AD, atualize o AD para a versão 2008.

Considerações importantes para uma migração aonde o domínio de origem é um Samba emulando um PDC NT:

  1. No Samba, deve-se criar um usuário chamado “Administrator”, com as mesmas permissões do usuário “root”, e com a mesma senha do usuário Administrator do domínio de destino;
  2. Para que as estações possam ser migradas, a propriedade “DNS Suffix for this Connection” (em Advanced/DNS) deve estar em branco;
  3. As senhas dos usuários não podem ser migradas do Samba;
  4. O SIDHistory no domínio de destino não pode ser populado (A funcionalidade “tcpipclientsupport” não está disponível no Samba. Com isso, a migração dos SID’s torna-se inviável);
  5. Durante a fase de Convivência dos ambientes, devemos manter a Relação de Confiança aonde o Active Directory confia no Samba.

Para contornar o problema da migração dos SID’s, devemos utilizar uma funcionalidade da Ferramenta ADMT que se chama “Conversor de Segurança”. Esta funcionalidade, basicamente, analisa o sistema operacional em busca de permissões atribuídas a usuários do domínio antigo. Os objetos analisados são:

  • Arquivos e Pastas
  • Grupos Locais
  • Impressoras
  • Registro
  • Compartilhamentos
  • Perfis de Usuário
  • Direitos de Usuario

Para entender como esta funcionalidade funciona, devemos antes analisar a migração de usuários e grupos. O ADMT, no momento da migração entre domínios, cria um banco de dados local que associa as contas do domínio antigo com as do domínio novo, conforme exemplo abaixo:

Usuário Domínio Antigo Usuário Domínio Novo
<dominioantigo>\contoso <dominionovo>\contoso
<dominioantigo>\jtraders <dominionovo>\jtraders

 

OBS: O mesmo princípio vale para os grupos.

No momento da migração de um computador (seja ele uma estação de trabalho ou um servidor de arquivos), o ADMT envia um agente para o mesmo, e com isso, antes de inserir o computador no novo domínio, o agente analisa todos os objetos citados anteriormente. Ao analisar um objeto qualquer:

  1. Analisa a sua ACL e coleta os usuários que possuem permissões;
  2. Busca no banco de dados do ADMT quem são os novos usuários (do novo domínio) associados a estes usuários do domínio antigo;
  3. Espelha as permissões NTFS do usuário antigo ao usuário novo.

Nota: O Conversor de Segurança não funciona para objetos Built-In do domínio antigo (ex: Domain Admins, etc).

Estratégia para Migração

Nesta estratégia, a ordem de migração do ambiente deve ser:

  1. Todos os Objetos do Samba para o Active Directory;
  2. Migração de todos os Serviços de Rede (Servidores de Arquivos, Aplicações, etc) para o Active Directory;
  3. Migração das estações de trabalho.

Fase de Convivência dos 2 Ambientes

Durante esta fase, os usuários continuarão logando em suas estações com os usuários antigos (Samba). Os usuários continuarão acessando os servidores já migrados para o Active Directory normalmente. Isso é possível devido a relação de Confiança existente entre os 2 domínios, conforme a ilustração abaixo:

image

  1. O usuário realiza a autenticação no domínio Samba;
  2. O usuário tenta acesso ao servidor que está no domínio Active Directory;
  3. O Servidor que recebeu a requisição verifica a credencial do usuário no domínio Samba, via Relação de Confiança;
  4. Após verificação das credenciais, o acesso ao Servidor é liberado para o usuário.

Algumas Informações Importantes para a fase de Convivência:

  • Qualquer usuário que for criado no ambiente deverá ser criado no domínio Samba, e depois ser migrado para o Active Directory via ADMT;
  • Qualquer modificação em membros de grupos deve ser feita no domínio Samba, e depois realizar um “Merge” via ADMT do grupo Modificado;
  • Toda migração deve ocorrer com o mesmo servidor ADMT, então recomendamos o Backup regular deste servidor.

Passos Necessários para Realizar a Migração

É importante ressaltar que todos os passos abaixo devem ser testados em laboratório antes de serem implementados em Produção!

  1. Criar um usuário “Administrator” no domínio Samba, com a mesma senha do usuário “Administrator” do Active Directory, com as mesmas permissões que o usuário “root”;
  2. Criar uma relação de Confiança aonde o Domínio Active Directory confia no domínio Samba;
  3. Instalar o ADMT em um servidor que esteja no domínio Active Directory;
  4. Migrar Grupos para o Active Directory via ADMT;
  5. Migrar Usuários para o Active Directory via ADMT;
  6. Migrar Servidores de Arquivos para o Novo Domínio via ADMT;
  7. Migrar demais Serviços de Rede para o Novo Domínio Active Directory;
  8. Após Migração de todos os serviços de Rede, migrar as estações gradualmente;
  9. Após a Migração de todas as Estações, aguardar estabilização do ambiente;
  10. Após estabilização, desfazer a Relação de Confiança;
  11. Desligue o Servidor Samba!

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s