Sites e Replicação do Active Directory

Microsoft, Windows Server

Fala pessoal, tudo bem com vocês? Hoje irei falar sobre Sites e replicação do Active Directory. Você já trabalha com sites e replicações? Irei abordar nesse primeiro momento a teoria de como funciona.

Paulo, o que são Sites do AD? Os sites no AD irão representar a localidade do seu host e da sua rede. Como assim? Vamos supor que eu tenho 1 empresa que contem 2 filiais, cada filial fica em uma cidade diferente como por exemplo Recife e São Paulo, e também tenho redes diferentes em cada filial.

Com o Site, irei facilitar a identificação do servidor de AD mais próximo para realizar a autenticação.

E replicação Paulo? A replicação funciona de duas maneiras, são elas: intrasite e intersite. Provavelmente você ficou confuso com esses dois nomes rsrs, mais irei explicar de uma forma mais simples.

A replicação intrasite ela ocorre quando você tem por exemplo 2 DCs em 1 mesmo site (Sempre recomendo que você tenha no mínimo 2 DCs) essa replicação intrasite ocorre de uma forma bem mais rápida do que a intersite.

Sobre a intersite, ela ocorre quando a replicação é realizada entre sites diferentes. Usando meu exemplo, seria a replicação do site Recife com o site São Paulo. A Mesma demora um pouco mais para ocorrer e tem um Padrão de 3 horas.

Quando usamos vários ADs, é sempre recomendado que você verifique o estado da replicação para evitar possíveis problemas. Existe alguns comandos que você pode executar para monitorar essa replicação, também existem ferramentas de monitoração como o Zabbix que você pode usar.

Paulo qual é a mais simples de verificar? Eu particularmente para identificar possíveis falhas e até exportar para um csv por exemplo, eu uso o Active Directory Replication Status Tool, irei deixar o link da ferramenta aqui.

Irei deixar também dois comandos que você pode usar para verificar a replicação:

  • Repadmin
  • Dcdiag

No próximo artigo, irei montar um ambiente na pratica e colocar aqui. Agradeço por ter ficado até aqui, até o próximo post.

Como eu estudo para certificações?

Microsoft

Fala pessoal, tudo bem com vocês? Hoje irei falar um pouco de como eu me preparo para realizar as minhas certificações.

Sempre antes de começar a me preparar para uma certificação, nesse caso irei usar como exemplo Microsoft, eu entro no site exemplo da AZ-303 https://docs.microsoft.com/pt-br/learn/certifications/exams/az-303

Verifico as habilidades medidas e o peso de cada habilidade. Logo depois eu baixo a estrutura dos tópicos do exame.

Com o passar do tempo, comecei a focar primeiramente no que eu tenho pouco conhecimento, e organizo uma cronograma de estudos para isso.

Estou usando o NOTION (é um aplicativo de uso pessoal gratuito, mas também tem a versão paga).

Aqui está um exemplo de como organizo, coloco os assuntos, nível de conhecimento, materiais que estou estudando.

Antes de começar, eu sempre deixo marcada a prova.

Para cada tópico desses, faço a criação de questões e anoto assuntos importantes que achei durante o curso e realizo os laboratórios que considero muito importante.

Algumas pessoas, aprendem mais lendo livros, no meu caso eu aprendo mais com vídeos, então uso os conteúdos da PluralSight e Udemy para isso.

Também sempre procuro no Reddit, ou em outros locais como foi as provas de outras pessoas, se tiveram 60 questões, 2 casos de estudos e etc…

Para simulado, recomendo a https://www.measureup.com/microsoft/microsoft-technical.html

A mesma é simulado oficial da Microsoft, onde você pode ver onde você está errando mais e entender como será a prova, caso seja sua primeira prova Microsoft.

Uma ultima dica, realizou a prova e recebeu o FAIL, NÃO DESISTA, pegue os pontos que você menos acertou e estude novamente.

Já tive provas que reprovei 3 vezes, e é sempre colocar na cabeça para não desistir.

Automatização de tarefas com PowerShell Introdução

Microsoft, PowerShell

Fala pessoal, tudo bem com vocês? Hoje irei falar um pouco sobre como automatizar tarefas com o PowerShell.

Antes de tudo, recomendo que você tenha conhecimento básico sobre PowerShell, pois para começar as automatizações você precisa do básico.

Quando falo em automação, irei abordar aqui sobre scripts, e não sobre funções etc. Eu particularmente prefiro criar meus scripts no PowerShell ISE, mas você pode ficar à vontade para usar a ferramenta que você se sentir mais à vontade.

Irei deixar no final do artigo um Link para meu Github, onde irei começar a compartilhar scripts que uso.

Vamos começar?

Por padrão, quando você executa pela primeira vez um script de PowerShell ele será bloqueado por padrão. Um exemplo de arquivo seria o .ps1

Vamos verificar como está a política de execução de scripts no PowerShell.

Modos:

  • Restricted (Com essa configuração, você não vai conseguir rodas scripts);
  • Unrestricted (Com essa configuração, seria meio que dizer não ligue para de onde veio o script, simplesmente rode rsrs… Recomendo que você use essa configuração);
  • RemoteSigned (Com essa configuração, os scripts criados localmente, ou com uma assinatura digital, serão executados);
  • AllSignet (Com essa configuração, basicamente só será liberado scripts que forem assinados digitalmente com um certo tipo de certificado. Ainda tem mais algumas configurações que irei deixar um KB da Microsoft sobre isso);
  • ByPass (Com essa configuração, você meio que fala para o Powershell não se preocupar rsrs, ela é usada por usuários mais avançados).

Para verificarmos qual configuração estamos no momento iremos digitar no PowerShell (abrir como adm):

Get-ExecutionPolicy

No meu caso, Restricted. Irei alterar para RemoteSigned. Para realizar essa alteração digite:

Set- ExecutionPolicy RemoteSigned

Ao realizar essa configuração, irá aparecer o seguinte aviso

Ao tentar realizar sem abrir como administrador, ele irá mostrar o seguinte erro.

Como administrador

Com essas configurações, vamos começar a criar um script bem básico, e rodar ele.

O script que irei mostrar, é algo muito básico, mas que pode ajudar você de uma forma simples, encontrar quem desligou/reiniciou o computador/servidor.

No PowerShell ISE, irei criar o seguinte arquivo ps1.

Get-EventLog -LogName System | Where EventID -eq 1074 

E irei salvar como Log Desligamento.ps1

Agora iremos abrir o nosso PowerShell como administrador e executar o script.

Aqui estão os Logs de uma forma bem mais rápida.

Agora iremos criar um script, para pegar todos os usuários do domínio, que estão com a senha para nunca expirar.

Nesse script iremos digitar:

Search-ADAccount -PasswordNeverExpires -UsersOnly

Vamos salvar, você pode colocar o nome que você desejar…

Esse script, ele precisa ter o modulo de Active Directory, se estiver usando o Windows 10 você precisa instalar o RSAT.

E Aqui está o retorno do nosso script.

Irei finalizar por aqui, mas recomendo que você crie um ambiente de laboratório e deixe sua imaginação fluir para criar scripts para automatizar algumas tarefas.

Você também pode procurar scripts prontos, ou modificados para sua necessidade.

Link Github: https://github.com/paulocostatipe/PowerShell

Documentação sobre as políticas: https://docs.microsoft.com/pt-br/powershell/module/microsoft.powershell.core/about/about_execution_policies?view=powershell-7.1

Gerenciador do Hyper-V não aparece

Dicas, Microsoft, Windows Server

Fala pessoal, tudo bem com vocês? Como já do meu costume, entrei em um fórum sobre Microsoft, e vi uma duvida no qual já tive, onde o Gerenciador do Hyper-V não mostrava no Gerenciador do servidor.

Então resolvi escrever uma forma simples de conseguir acessar o Gerenciador do Hyper-V rsrs.

Existe uma forma bem simples de acessar o gerenciador do Hyper-V, que é abrindo o seu executável.

Paulo, essa é a única solução ? NÃO! Existe outras, mas irei abordar apenas essa, pois é bem simples.

Se você tiver com Windows 10, recomendo usar o RSAT.

Mas se for no servidor do Hyper-V, vamos da maneira mais fácil.

Primeiro você irá entrar: C:\Windows\System32\virtmgmt.msc e copiar para sua área de trabalho, esse arquivo é o executável do Gerenciador do Hyper-V. Simples e rápido.

Você também pode encontrar o arquivo no formato .exe

Essa foi uma dica simples e rápida sobre Hyper-V

Intune Bloqueando copia de arquivos do Perfil Comercial para pessoal (Android)

Dicas, Intune, Microsoft

Fala pessoal, tudo certo com vocês?

Recentemente, venho estudando sobre o Intune, especialmente em uso para Dispositivos Android. Hoje venho compartilhar uma dica de configuração que considero muito útil, que é bloquear a copia de arquivos, como por exemplo um texto de e-mail, do seu perfil comercial (Empresarial) para o perfil pessoal.

Para começar, vamos abrir o Microsoft Endpoint Manager https://endpoint.microsoft.com/

Iremos na parte de Dispositivos > Android

Vamos clicar em Android, e procurar por Perfis de configuração

Aqui, iremos criar um novo Perfil.

Em Plataforma, irei selecionar: Android Enterprise

Tipo de Perfil: Perfil de trabalho de Propriedade Pessoal e selecionar a configuração: Restrições do dispositivo

Vamos clicar em Criar.

Na primeira tela, irei definir o nome da Politica como: Bloquear copia de arquivos, mas fique a vontade para definir o nome que você deseja.

Vamos clicar em avançar.

Em Parâmetros de configuração, irei na parte de Configurações de perfil de trabalho

Irei em configurações Gerais, e bloquear a seguinte configuração

Existe, diversas outras configurações, mas irei mostrar apenas essa.

Vamos clicar em avançar.

Aqui, você pode adicionar Grupos, ou adicionar todos usuários / Dispositivos que irão receber essa politica.

Irei adicionar o Grupo, que criei para realizar o teste.

E vamos clicar em avançar, para revisar e criar.

Vamos Criar.

Depois de criada, irei em propriedades, para verificar as configurações

Depois, de criada e atribuída para um grupo ou dispositivo, irei aguardar para meu dispositivo receber a politica e testar.

Irei usar como exemplo, um email que recebi e tentarei copiar uma parte.

Aqui, estou no meu perfil Comercial, e irei tentar copiar essa mensagem para meu perfil pessoal.

E aqui, mostra o resultado. Não posso copiar arquivos da minha organização para meu perfil pessoal.

Essa foi a dica de hoje, espero que tenham gostado. Até a proxima.

Microsoft anuncia fim da sincronização do WSUS 3.0 SP2

Microsoft, Windows Server

Fala pessoal, tudo certinho?

Recentemente a Microsoft anunciou que no dia 31 de outubro de 2021, o WSUS na versão 3.0 não irá mais realizar sincronizar e baixar as atualizações.

O WSUS é um serviço que utilizado praticamente em todas as empresas, então precisamos nos preparar para atualizar os nossos servidores, para não perder a comunicação.

Vou deixar aqui um link com mais informações sobre..

https://techcommunity.microsoft.com/t5/windows-it-pro-blog/end-of-synchronization-for-wsus-3-0-sp2/ba-p/2371993

Dicas para melhorar o gerenciamento e configurações de Diretivas de Grupo (Group Policy Management)

GPO, Microsoft, Windows Server

Fala pessoal, tudo bem com vocês? Hoje irei falar sobre algumas dicas de gerenciamento e configurações de GPO, na minha visão e que acho pertinente para a maioria dos ambientes.

Primeiro, quero falar sobre onde eu sempre começo a criar as GPOs, sempre começo criando as GPOs nos Objetos de políticas de Grupo (Group Policy Objects)

Vale lembrar, que as GPOs são configuradas para computadores, usuários ou ambos. Também podemos criar filtros WMI para colocar um filtro mais avançado.

Dica 01

Para começar, a primeira dica que irei colocar aqui, é criar uma OU que contenha um computador e um usuário para realizações de testes para homologação, lembrando é claro que a GPO deve ser inclusa apenas nessa OU. Realize todos os testes, para não afetar seu ambiente de produção

Após realizar os testes e verificar se tudo funcionou corretamente, irei para a próxima dica…

Dica 02

Seu ambiente provavelmente deve ser segmentado por OUs como por exemplo departamentos da empresa, regiões, cidades etc.

Minha dica é inclua a GPO o mais próximo possível de onde ele será utilizado.

Vou dar um exemplo, vamos dizer que tenho várias OUs no meu ambiente, como: Financeiro, RH, Comercial e TI.

Essa GPO que estou criando seria para os usuários de TI, então irei incluir a GPO a OU TI. (Lembrando que os usuários e computadores devem estar nessa OU)

Dica 03

Configure filtros para as GPOs, crie Grupos no AD para incluir usuários, computadores…

Na parte de segurança de GPO, ela permite uma granularidade muito grande para segurança. Alem de grupos, você pode criar filtros WMI e aplicar também. Com filtros WMI, você pode filtrar por tipo de S.O, quantidade de memória RAM, além de outras muitas possibilidades, irei deixar um link falando mais sobre WMI

https://docs.microsoft.com/pt-br/windows/security/threat-protection/windows-firewall/create-wmi-filters-for-the-gpo

Dica 04

Relembrando a dica 02, tente evitar colocar políticas desnecessárias a nível de domínio, principalmente com o parâmetro de enforce. O parâmetro enforce (a que a GPO fica com um cadeado) irá sobrescrever as permissões, lembrando… as permissões mais restritivas é que serão aplicadas.