diff --git a/README.md b/README.md index 80b613e..8d297f5 100644 --- a/README.md +++ b/README.md @@ -37,11 +37,13 @@ Este repositório contém a documentação técnica da iT Guys, organizada por s - [x] [Nível 3] Arquitetura de Persistência e Troubleshooting Avançado ### 4. Windows Server (AD / DNS / GPO) -- [ ] [Nível 1] Criação e Bloqueio de Usuários (Padrão) -- [ ] [Nível 2] Manutenção de DNS e DHCP -- [ ] [Nível 3] Diagnóstico de Replicação (DCDIAG) -- [ ] [Nível 3] Gestão Centralizada via GPO -- [ ] [Nível 3] Disaster Recovery do Active Directory +- [x] [Nível 1] Criação e Gestão do Ciclo de Vida de Usuários (AD) +- [x] [Nível 2] Padrões de Senha e Configuração Inicial (Post-Install) +- [x] [Nível 2] Gestão Avançada de DNS e DHCP +- [x] [Nível 3] Automação e Relatórios com PowerShell +- [x] [Nível 3] Diagnóstico de Replicação (DCDIAG) +- [x] [Nível 3] Gestão Centralizada via GPO +- [x] [Nível 3] Disaster Recovery e Continuidade de Negócios (AD) ### 5. Microsoft Exchange (Exchange 2019) - [x] [Nível 0] Como Acessar e Configurar Webmail e Celular diff --git a/documentacao windows/Nivel_1/[Nível 1] Criação e Gestão do Ciclo de Vida de Usuários (AD).md b/documentacao windows/Nivel_1/[Nível 1] Criação e Gestão do Ciclo de Vida de Usuários (AD).md new file mode 100644 index 0000000..8f2aca9 --- /dev/null +++ b/documentacao windows/Nivel_1/[Nível 1] Criação e Gestão do Ciclo de Vida de Usuários (AD).md @@ -0,0 +1,84 @@ +# MANUAL TÉCNICO - CRIAÇÃO E GESTÃO DO CICLO DE VIDA DE USUÁRIOS (AD) + +**Código:** ITGSUP 0030/26 | **Classificação:** INTERNO +**Responsável:** João Pedro Toledo Gonçalves | **Data:** {{DATA_ATUAL}} + +## 1. HISTÓRICO DE REVISÃO + +| Data | Versão | Descrição | Autor | +| :--- | :--- | :--- | :--- | +| {{DATA_ATUAL}} | 1.0 | Criação Inicial | João Pedro Toledo Gonçalves | + +## 2. OBJETIVO +Padronizar o cadastro, manutenção, diagnóstico de bloqueio e desligamento de usuários no Active Directory (AD DS), válido para Windows Server 2016 a 2025. + +## 3. PRÉ-REQUISITOS +* [ ] Acesso ao RSAT (AD Users and Computers) na estação ou servidor. +* [ ] Permissão de "Account Operator" ou superior. + +--- + +## 4. CRIAÇÃO DE USUÁRIO (NOIRE - NOVO COLABORADOR) + +Abra o **Active Directory Users and Computers** (`dsa.msc`). + +1. Navegue até a OU (Unidade Organizacional) correta (ex: `Empresa > Departamentos > RH`). +2. Clique com botão direito no vazio > **New** > **User**. + +### Guia de Campos Obrigatórios +> ⚠️ **IMPORTANTE:** O preenchimento correto impacta o Outlook (Global Address List) e sistemas de RH. + +| Aba | Campo | O que preencher | Motivo | +| :--- | :--- | :--- | :--- | +| **Geral** | First/Last Name | Nome Sobrenome (Sem acentos no Logon). | Padrão visual. | +| **Geral** | User logon name | `nome.sobrenome` | Padrão de login. | +| **Account** | Logon Hours | (Opcional) Restringir horários. | Segurança (estagiários). | +| **Account** | Log On To | (Opcional) Restringir a quais PCs. | Segurança (chão de fábrica). | +| **Profile** | Profile Path | Deixar em branco (exceto Roaming). | Evitar lentidão de login. | +| **Organization** | Job Title | Cargo Oficial. | Assinatura de E-mail. | +| **Organization** | Manager | Selecionar o Gestor. | Hierarquia no Outlook. | + +### Senha Inicial +* [x] User must change password at next logon. +* Padrão iT Guys: `Mudar@123` (Ou conforme política da empresa). + +--- + +## 5. MANUTENÇÃO E TROUBLESHOOTING + +### Reset de Senha / Desbloqueio +Se o usuário travar a conta: +1. Botão direito no usuário > **Reset Password**. +2. Marque **Unlock the user's account** se estiver bloqueado. + +### Diagnóstico de Bloqueio (Event Viewer) +O usuário jura que digitou certo, mas a conta bloqueia sozinha. +1. Acesse o servidor Domain Controller (DC). +2. Abra o **Event Viewer** (`eventvwr.msc`). +3. Vá em `Windows Logs > Security`. +4. Filtre pelo ID **4740** (A conta foi bloqueada). +5. O evento mostrará o **Caller Computer Name** (O PC que está errando a senha, pode ser um celular ou tablet antigo com senha velha salva). + +--- + +## 6. INGRESSAR COMPUTADOR NO DOMÍNIO (JOIN) + +Passo a passo para adicionar uma nova estação de trabalho. + +1. No PC do usuário, garanta que o DNS aponte para o DC (ex: `192.168.0.10`). +2. Abra `sysdm.cpl` > **Change**. +3. Marque **Domain** e digite o domínio (ex: `empresa.local`). +4. Use suas credenciais de suporte para autorizar. +5. Reinicie o PC. + +**Remoção (Disjoin):** +1. Mesmo caminho, mude de volta para **Workgroup**. +2. No AD (`dsa.msc`), delete o objeto do computador ou mova para uma OU de "Desativados". + +## 7. VALIDAÇÃO FINAL +- [ ] O usuário consegue logar no PC? +- [ ] O Outlook exibe o cargo e gerente corretamente? +- [ ] A conta não está expirada (`Account` tab > `Account expires`). + +![Exemplo de Criação](assets/ad_new_user.png) +*(Imagem ilustrativa - Adicione print real aqui)* diff --git a/documentacao windows/Nivel_1/[Nível 1] Criação e Gestão do Ciclo de Vida de Usuários (AD).pdf b/documentacao windows/Nivel_1/[Nível 1] Criação e Gestão do Ciclo de Vida de Usuários (AD).pdf new file mode 100644 index 0000000..4470ca9 Binary files /dev/null and b/documentacao windows/Nivel_1/[Nível 1] Criação e Gestão do Ciclo de Vida de Usuários (AD).pdf differ diff --git a/documentacao windows/Nivel_2/[Nível 2] Gestão Avançada de DNS e DHCP.md b/documentacao windows/Nivel_2/[Nível 2] Gestão Avançada de DNS e DHCP.md new file mode 100644 index 0000000..1153ed1 --- /dev/null +++ b/documentacao windows/Nivel_2/[Nível 2] Gestão Avançada de DNS e DHCP.md @@ -0,0 +1,68 @@ +# MANUAL TÉCNICO - GESTÃO AVANÇADA DE DNS E DHCP + +**Código:** ITGINF 0031/26 | **Classificação:** RESTRITO +**Responsável:** João Pedro Toledo Gonçalves | **Data:** {{DATA_ATUAL}} + +## 1. HISTÓRICO DE REVISÃO + +| Data | Versão | Descrição | Autor | +| :--- | :--- | :--- | :--- | +| {{DATA_ATUAL}} | 1.0 | Criação Inicial | João Pedro Toledo Gonçalves | + +## 2. OBJETIVO +Gerenciar a infraestrutura de nomes e endereçamento IP, incluindo segurança de DNS (Bloqueios), Encaminhadores e DHCP Failover. + +--- + +## 3. DNS SERVER (`dnsmgmt.msc`) + +### Tipos de Registros +* **Host (A):** Aponta Nome -> IP (ex: `srv-app -> 192.168.0.50`). +* **CNAME (Alias):** Aponta Apelido -> Nome (ex: `portal -> srv-app`). Use isso para facilitar trocas futuras. +* **MX:** Correio Eletrônico (Exchange/Office 365). + +### Forwarders (Encaminhadores) +Se o servidor não sabe o IP (ex: `google.com`), ele pergunta para quem? +1. Botão direito no Servidor > **Properties** > **Forwarders**. +2. Adicione DNS rápidos e seguros (ex: `1.1.1.1` Cloudflare, `8.8.8.8` Google). +3. **Dica de Segurança:** Desative "Use root hints if no forwarders are available" se quiser forçar o tráfego apenas pelo forwarder (ex: Umbrella/DNS Filter). + +### Conditional Forwarders +Para conectar com outra empresa/floresta sem expor tudo. +* "Se for procurar `empresa-parceira.com.br`, pergunte ao IP `10.50.0.5` (Deles), não para a internet". + +### DNS Policies (Bloqueio de Sites) +Recurso nativo do Windows Server 2016+ para bloquear domínios maliciosos. +* Via PowerShell, você pode criar uma "Query Resolution Policy" que responde `DENY` ou redireciona para um Sinkhole (IP de aviso). + +```powershell +Add-DnsServerQueryResolutionPolicy -Name "BloqueioRedesSociais" -Action DENY -Fqdn "EQ,*.facebook.com" +``` + +--- + +## 4. DHCP SERVER (`dhcpmgmt.msc`) + +### Criação de Scope (Escopo) +1. IPv4 > New Scope. +2. Defina o Range (ex: `192.168.1.100` até `.200`). +3. **Options:** + * 003 Router (Gateway). + * 006 DNS Servers (Seu próprio DC). + * 015 Domain Name. + +### Reservations (IP Fixo via DHCP) +Para impressoras e ramais VoIP. +1. Vá em **Reservations** > New Reservation. +2. Preencha o MAC Address. O dispositivo pegará sempre o mesmo IP. + +### DHCP Failover (Alta Disponibilidade) +Dois servidores distribuindo o mesmo range. +1. Botão direito no Scope > **Configure Failover**. +2. Escolha o servidor parceiro. +3. Modo: **Load Balance** (50/50) ou **Hot Standby** (Ativo/Passivo). + +## 5. VALIDAÇÃO FINAL +- [ ] O DNS resolve nomes internos e externos? (`nslookup`) +- [ ] O DHCP está entregando IPs na sub-rede correta? +- [ ] As políticas de bloqueio DNS foram testadas? diff --git a/documentacao windows/Nivel_2/[Nível 2] Gestão Avançada de DNS e DHCP.pdf b/documentacao windows/Nivel_2/[Nível 2] Gestão Avançada de DNS e DHCP.pdf new file mode 100644 index 0000000..f0a73b7 Binary files /dev/null and b/documentacao windows/Nivel_2/[Nível 2] Gestão Avançada de DNS e DHCP.pdf differ diff --git a/documentacao windows/Nivel_2/[Nível 2] Padrões de Senha e Configuração Inicial (Post-Install).md b/documentacao windows/Nivel_2/[Nível 2] Padrões de Senha e Configuração Inicial (Post-Install).md new file mode 100644 index 0000000..98b0d8f --- /dev/null +++ b/documentacao windows/Nivel_2/[Nível 2] Padrões de Senha e Configuração Inicial (Post-Install).md @@ -0,0 +1,69 @@ +# MANUAL TÉCNICO - PADRÕES DE SENHA E CONFIGURAÇÃO INICIAL (POST-INSTALL) + +**Código:** ITGINF 0030/26 | **Classificação:** RESTRITO +**Responsável:** João Pedro Toledo Gonçalves | **Data:** {{DATA_ATUAL}} + +## 1. HISTÓRICO DE REVISÃO + +| Data | Versão | Descrição | Autor | +| :--- | :--- | :--- | :--- | +| {{DATA_ATUAL}} | 1.0 | Criação Inicial | João Pedro Toledo Gonçalves | + +## 2. OBJETIVO +Definir o padrão de implantação de novos servidores Windows (2016/2019/2022/2025), garantindo licenciamento correto, segurança inicial e padronização. + +--- + +## 3. ESCOLHA DA EDIÇÃO: STANDARD VS DATACENTER + +> ⚠️ **REGRA DE OURO:** Em 99% dos casos, usaremos **Windows Server Standard** nas VMs. + +* **Standard:** Permite 2 OSEs (Ambientes) se licenciado no host. Ideal para VMs individuais. +* **Datacenter:** Permite VMs ilimitadas. Ideal **APENAS PARA O HOST DE VIRTUALIZAÇÃO** (Hyper-V). + * *Por que não usar Datacenter na VM?* Custo desnecessário e compliance de licença. A funcionalidade técnica é idêntica para AD/DNS/FileServer. +* **Desktop Experience vs Core:** Prefira **Desktop Experience** para servidores de gestão/AD e **Core** para serviços web/infra massivos (se a equipe tiver skill). + +--- + +## 4. CHECKLIST PÓS-INSTALAÇÃO (O "BÁSICO BEM FEITO") + +Antes de instalar qualquer função (Role), execute nesta ordem: + +1. **Hostname:** + * Renomeie o servidor IMEDIATAMENTE. Não deixe `WIN-A3F1...`. + * Padrão: `SRV-[FUNCAO]-[NUMERO]` (ex: `SRV-DC-01`, `SRV-FS-01`). + * *Comando:* `Rename-Computer -NewName "SRV-DC-01" -Restart` + +2. **IP Estático:** + * Nunca use DHCP em servidores. + * Configure IP, Máscara, Gateway e **DNS (Aponte para os DCs existentes)**. + +3. **Updates e Timezone:** + * Ajuste fuso horário e região (`intl.cpl`). + * Rode o Windows Update até não haver mais patches. + +4. **Ingressar no Domínio:** + * Se for um Member Server (File Server, App), ingresse no domínio. + * Se for rodar como DC, instale a role `AD DS` primeiro. + +--- + +## 5. POLÍTICA DE SENHAS (GPO DEFAULT) + +O Active Directory controla as senhas. Não configure localmente. + +1. Abra o **Group Policy Management** (`gpmc.msc`). +2. Edite a **Default Domain Policy** (ou a política de senhas dedicada se houver granularidade/FGPP). +3. Caminho: `Computer Config > Policies > Windows Settings > Security Settings > Account Policies > Password Policy`. + +**Padrão Sugerido (NIST Friendly):** +* **Enforce password history:** 24 senhas (Evita reuso imediato). +* **Maximum password age:** 90 dias (Ou 0/sem expiração se tiver MFA forte). +* **Minimum password length:** 12 a 14 caracteres. +* **Complexity requirements:** Enabled (Maiúscula, minúscula, número, especial). +* **Minimum password age:** 1 dia (Evita que o usuário mude 24 vezes seguidas para burlar o histórico). + +## 6. VALIDAÇÃO FINAL +- [ ] Hostname está no padrão e servidor reiniciado? +- [ ] IP é estático? +- [ ] A GPO de senhas foi aplicada (`gpupdate /force`)? diff --git a/documentacao windows/Nivel_2/[Nível 2] Padrões de Senha e Configuração Inicial (Post-Install).pdf b/documentacao windows/Nivel_2/[Nível 2] Padrões de Senha e Configuração Inicial (Post-Install).pdf new file mode 100644 index 0000000..fd2eb29 Binary files /dev/null and b/documentacao windows/Nivel_2/[Nível 2] Padrões de Senha e Configuração Inicial (Post-Install).pdf differ diff --git a/documentacao windows/Nivel_3/[Nível 3] Automação e Relatórios com PowerShell.md b/documentacao windows/Nivel_3/[Nível 3] Automação e Relatórios com PowerShell.md new file mode 100644 index 0000000..39211a4 --- /dev/null +++ b/documentacao windows/Nivel_3/[Nível 3] Automação e Relatórios com PowerShell.md @@ -0,0 +1,86 @@ +# MANUAL TÉCNICO - AUTOMAÇÃO E RELATÓRIOS COM POWERSHELL + +**Código:** ITGENG 0030/26 | **Classificação:** CONFIDENCIAL +**Responsável:** João Pedro Toledo Gonçalves | **Data:** {{DATA_ATUAL}} + +## 1. HISTÓRICO DE REVISÃO + +| Data | Versão | Descrição | Autor | +| :--- | :--- | :--- | :--- | +| {{DATA_ATUAL}} | 1.0 | Criação Inicial | João Pedro Toledo Gonçalves | + +## 2. OBJETIVO +Centralizar scripts de manutenção, relatórios de auditoria e operações em massa para administradores de sistemas. **Elimine o trabalho manual repetitivo.** + +## 3. RELATÓRIOS DE AUDITORIA + +### 1. Usuários Inativos (Stale Users) +Encontra usuários que não logam há mais de 90 dias. +```powershell +$Dias = 90 +Search-ADAccount -AccountInactive -TimeSpan ([timespan]::$Dias.00:00:00) -UsersOnly | +Select-Object Name, SamAccountName, LastLogonDate, Enabled | +Export-Csv "C:\Relatorios\Inativos.csv" -NoTypeInformation +``` + +### 2. Senhas Prestes a Expirar +Avise os usuários antes do bloqueio. +```powershell +Get-ADUser -filter {Enabled -eq $True -and PasswordNeverExpires -eq $False} -Properties msDS-UserPasswordExpiryTimeComputed | +Select-Object Name, @{Name="ExpiryDate";Expression={[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed")}} +``` + +### 3. Membros do Grupo Domain Admins (Segurança) +Verifique quem tem a chave do reino. +```powershell +Get-ADGroupMember "Domain Admins" | Select-Object Name, SamAccountName, ObjectClass +``` + +--- + +## 4. OPERAÇÕES EM MASSA (BULK) + +### Criação de Usuários via CSV +Arquivo `novos.csv` deve ter colunas: `Nome,Login,Cargo`. + +```powershell +Import-Csv "C:\Temp\novos.csv" | ForEach-Object { + New-ADUser -Name $_.Nome ` + -SamAccountName $_.Login ` + -UserPrincipalName "$($_.Login)@empresa.local" ` + -Title $_.Cargo ` + -Path "OU=Usuarios,DC=empresa,DC=local" ` + -AccountPassword (ConvertTo-SecureString "Mudar@123" -AsPlainText -Force) ` + -ChangePasswordAtLogon $true ` + -Enabled $true +} +``` + +--- + +## 5. MANUTENÇÃO DE SERVIDOR + +### Limpeza de Disco (Logs Antigos) +Script para rodar no Task Scheduler semanalmente. +```powershell +$Path = "C:\inetpub\logs\LogFiles" +$Daysback = "-30" +Get-ChildItem $Path -Recurse -Force | Where-Object { $_.LastWriteTime -lt (Get-Date).AddDays($Daysback) } | Remove-Item -Force +``` + +### Verificar Serviços Parados (Automático) +```powershell +$ServicosCriticos = "DNS","Dhcp","LanmanServer" +foreach ($S in $ServicosCriticos) { + if ((Get-Service $S).Status -ne "Running") { + # Aqui voce poderia enviar um e-mail ou tentar iniciar + Start-Service $S + Write-Warning "Serviço $S foi reiniciado." + } +} +``` + +## 6. VALIDAÇÃO FINAL +- [ ] Os scripts rodam sem erros vermelhos? +- [ ] O CSV de saída é gerado corretamente? +- [ ] A execução em massa criou os usuários na OU certa? diff --git a/documentacao windows/Nivel_3/[Nível 3] Automação e Relatórios com PowerShell.pdf b/documentacao windows/Nivel_3/[Nível 3] Automação e Relatórios com PowerShell.pdf new file mode 100644 index 0000000..5849d00 Binary files /dev/null and b/documentacao windows/Nivel_3/[Nível 3] Automação e Relatórios com PowerShell.pdf differ diff --git a/documentacao windows/Nivel_3/[Nível 3] Diagnóstico de Replicação (DCDIAG).md b/documentacao windows/Nivel_3/[Nível 3] Diagnóstico de Replicação (DCDIAG).md new file mode 100644 index 0000000..3f03018 --- /dev/null +++ b/documentacao windows/Nivel_3/[Nível 3] Diagnóstico de Replicação (DCDIAG).md @@ -0,0 +1,78 @@ +# MANUAL TÉCNICO - DIAGNÓSTICO DE REPLICAÇÃO (DCDIAG) + +**Código:** ITGENG 0031/26 | **Classificação:** CONFIDENCIAL +**Responsável:** João Pedro Toledo Gonçalves | **Data:** {{DATA_ATUAL}} + +## 1. HISTÓRICO DE REVISÃO + +| Data | Versão | Descrição | Autor | +| :--- | :--- | :--- | :--- | +| {{DATA_ATUAL}} | 1.0 | Criação Inicial | João Pedro Toledo Gonçalves | + +## 2. OBJETIVO +Identificar e corrigir falhas de sincronização entre Domain Controllers (DCs), erros de SYSVOL e problemas de confiança no domínio. + +## 3. FERRAMENTA PRINCIPAL: DCDIAG + +O `dcdiag` é o check-up completo do DC. + +**Execução Padrão:** +Abra o CMD/PowerShell como Admin e rode: +```bash +dcdiag /v /c /d /e /s:NOME_DO_DC > c:\temp\relatorio_dcdiag.txt +``` +* `/v`: Verbose (Detalhado). +* `/c`: Comprehensive (Todos os testes). +* `/e`: Enterprise (Testa todos os DCs, não só este). + +**Analise o Resultado:** +Procure por `failed` ou `warning`. +* **Advertising:** Se falhar, o DC não está se anunciando (Netlogon parado?). +* **FrsEvent:** Problemas na replicação de arquivos (SYSVOL). +* **MachineAccount:** Problema de confiança (Secure Channel). + +--- + +## 4. FERRAMENTA DE REPLICAÇÃO: REPADMIN + +Foca especificamente no tráfego de dados do AD. + +### 1. Resumo de Replicação (/showrepl) +```bash +repadmin /showrepl +``` +* **O que buscar:** "Successful" em todas as conexões inbound. +* **Erro Comum:** "RPC Server Unavailable" (Firewall bloqueando porta 135/RPC ou DC desligado). + +### 2. Resumo de Erros (/replsum) +Dá uma visão tabular rápida. +```bash +repadmin /replsum +``` +Mostra qual DC está falhando mais. + +### 3. Forçar Replicação (/syncall) +Se você criou um usuário no DC01 e quer que apareça LOGO no DC02. +```bash +repadmin /syncall /A /e /P +``` +* Force a sincronização de todas as partições. + +--- + +## 5. SOLUÇÃO DE PROBLEMAS (Burros de Carga) + +**Erro: "Target principal name is incorrect"** +Geralmente ocorre quando a senha da conta de máquina do DC dessincronizou com o KDC. +* **Solução:** Resetar o canal seguro. + ```powershell + Test-ComputerSecureChannel -Repair + ``` + +**Erro: "Lingering Objects"** +Um DC ficou desligado por mais tempo que o TSL (Tombstone Lifetime - 180 dias) e voltou a vida. +* **Ação:** Remova o DC do domínio (Demote) e formate. Não tente ressincronizar, vai corromper o AD. + +## 6. VALIDAÇÃO FINAL +- [ ] `dcdiag` retorna "Passed" nos testes críticos (DNS, Advertising)? +- [ ] `repadmin /showrepl` não mostra falhas recentes (> 1 hora)? diff --git a/documentacao windows/Nivel_3/[Nível 3] Diagnóstico de Replicação (DCDIAG).pdf b/documentacao windows/Nivel_3/[Nível 3] Diagnóstico de Replicação (DCDIAG).pdf new file mode 100644 index 0000000..5365d2c Binary files /dev/null and b/documentacao windows/Nivel_3/[Nível 3] Diagnóstico de Replicação (DCDIAG).pdf differ diff --git a/documentacao windows/Nivel_3/[Nível 3] Disaster Recovery e Continuidade de Negócios (AD).md b/documentacao windows/Nivel_3/[Nível 3] Disaster Recovery e Continuidade de Negócios (AD).md new file mode 100644 index 0000000..93ad122 --- /dev/null +++ b/documentacao windows/Nivel_3/[Nível 3] Disaster Recovery e Continuidade de Negócios (AD).md @@ -0,0 +1,73 @@ +# MANUAL TÉCNICO - DISASTER RECOVERY E CONTINUIDADE DE NEGÓCIOS (AD) + +**Código:** ITGENG 0033/26 | **Classificação:** CONFIDENCIAL +**Responsável:** João Pedro Toledo Gonçalves | **Data:** {{DATA_ATUAL}} + +## 1. HISTÓRICO DE REVISÃO + +| Data | Versão | Descrição | Autor | +| :--- | :--- | :--- | :--- | +| {{DATA_ATUAL}} | 1.0 | Criação Inicial | João Pedro Toledo Gonçalves | + +## 2. OBJETIVO +Definir procedimentos para recuperação de objetos deletados, restauração de controladores de domínio (DC) falhos e continuidade do serviço de diretório. + +--- + +## 3. RECUPERAÇÃO DE OBJETOS DELETADOS (AD RECYCLE BIN) + +**Cenário:** Alguém deletou uma OU inteira "sem querer". + +> 🚀 **PRÉ-REQUISITO:** A lixeira deve ter sido ativada PREVIAMENTE no `AD Administrative Center`. + +1. Abra o **Active Directory Administrative Center**. +2. Clique no Domínio > **Deleted Objects**. +3. Localize o usuário/OU. +4. Botão direito > **Restore** (Volta para o lugar original) ou **Restore To** (Lugar novo). + +*Se a lixeira não estiver ativa, você precisará de um Authoritative Restore (muito mais doloroso).* + +--- + +## 4. BACKUP DO SYSTEM STATE (NATIVO - WSB) + +O Windows Server Backup (WSB) é a forma "canônica" de salvar o AD. + +1. Instale a feature: `Windows Server Backup`. +2. Configure um backup agendado ou único. +3. **O que selecionar?** A opção crítica é **System State**. Ela contém o banco NTDS.dit, registro e SYSVOL. +4. Destino: Disco secundário ou Share de Rede. + +--- + +## 5. FERRAMENTAS EXTERNAS (VEEAM / AZURE BACKUP) + +Em ambientes corporativos, usamos Veeam. + +**Veeam Backup & Replication:** +1. Certifique-se que o "Application-Aware Processing" está ativado no Job. + * Isso garante que o Veeam fale com o VSS do AD para um backup consistente. +2. **Restore:** Use o "Veeam Explorer for Microsoft Active Directory". + * Permite restaurar objetos granulares (como um usuário e seus grupos) sem voltar o servidor inteiro. + +--- + +## 6. RESTORE DE DOMÍNIO (DSRM) + +**Cenário:** O banco corrompeu ou você precisa voltar um backup do System State. + +1. Reinicie o DC. +2. Pressione **F8** ou escolha **Directory Services Repair Mode (DSRM)** no boot. +3. Logue com a senha de DSRM (Definida na promoção do DC). +4. Use o WSB para restaurar o System State. + +### Authoritative vs Non-Authoritative +* **Non-Authoritative (Padrão):** Você restaura o backup, mas se houver outro DC vivo, ele sobrescreve seu backup com os dados "mais novos" dele. +* **Authoritative (ntdsutil):** Você diz "Esse backup é a verdade absoluta". + * Comando `ntdsutil`: `authoritative restore` > `restore subtree "OU=Financeiro,DC=empresa..."`. + * Isso incrementa o USN (número de versão) em +100.000, forçando todos os outros DCs a aceitarem esses dados antigos como novos. + +## 7. VALIDAÇÃO FINAL +- [ ] A lixeira do AD está ativa? +- [ ] O backup do System State roda diariamente? +- [ ] Você sabe a senha de DSRM atual? (Se não, resete com ntdsutil). diff --git a/documentacao windows/Nivel_3/[Nível 3] Disaster Recovery e Continuidade de Negócios (AD).pdf b/documentacao windows/Nivel_3/[Nível 3] Disaster Recovery e Continuidade de Negócios (AD).pdf new file mode 100644 index 0000000..940e8ce Binary files /dev/null and b/documentacao windows/Nivel_3/[Nível 3] Disaster Recovery e Continuidade de Negócios (AD).pdf differ diff --git a/documentacao windows/Nivel_3/[Nível 3] Gestão Centralizada via GPO.md b/documentacao windows/Nivel_3/[Nível 3] Gestão Centralizada via GPO.md new file mode 100644 index 0000000..272f9b2 --- /dev/null +++ b/documentacao windows/Nivel_3/[Nível 3] Gestão Centralizada via GPO.md @@ -0,0 +1,82 @@ +# MANUAL TÉCNICO - GESTÃO CENTRALIZADA VIA GPO (GROUP POLICY) + +**Código:** ITGENG 0032/26 | **Classificação:** CONFIDENCIAL +**Responsável:** João Pedro Toledo Gonçalves | **Data:** {{DATA_ATUAL}} + +## 1. HISTÓRICO DE REVISÃO + +| Data | Versão | Descrição | Autor | +| :--- | :--- | :--- | :--- | +| {{DATA_ATUAL}} | 1.0 | Criação Inicial | João Pedro Toledo Gonçalves | + +## 2. OBJETIVO +Padronizar a criação, linkagem e filtragem de Políticas de Grupo (GPO), garantindo a aplicação correta de configurações em usuários e computadores. + +--- + +## 3. CONCEITOS E CRIAÇÃO (`gpmc.msc`) + +### O Objeto GPO vs O Link +* **Group Policy Object (GPO):** É a caixa com as configurações. Fica em "Group Policy Objects". +* **Link:** É onde você "conecta" a caixa (Domínio, Site ou OU). + +> ⚠️ **REGRA:** Nunca edite a *Default Domain Policy* para coisas específicas. Crie GPOs novas (ex: "GPO_Wallpaper", "GPO_Map_Drives"). + +### Criando uma GPO +1. Vá em **Group Policy Objects**. +2. Botão direito > **New** > Nome Claro (ex: `GPO_LockScreen_15min`). +3. Botão direito na GPO > **Edit**. + +### Aplicando (Linkando) +1. Arraste a GPO para a OU desejada (ex: `OU=Financeiro`). +2. Ela afetará todos os objetos **dentro e abaixo** dessa OU. + +--- + +## 4. ORDEM DE PROCESSAMENTO (LSDOU) + +O Windows aplica GPOs nesta ordem (a última ganha): +1. **L**ocal Policy (Do PC). +2. **S**ite (AD Site). +3. **D**omain. +4. **O**U (Organizational Unit). + +*Se uma GPO no Domínio diz "Bloqueia USB" e na OU diz "Libera USB", a OU ganha.* + +### Exceções +* **Enforced (Cadeado):** A GPO "de cima" ganha de qualquer uma abaixo. Use para políticas de segurança inegociáveis. +* **Block Inheritance:** A OU ignora tudo que vem de cima (exceto Enforced). + +--- + +## 5. FILTROS WMI (QUEM RECEBE A GPO?) + +Às vezes, a GPO está na OU certa, mas só deve rodar em Windows 10, ou só em Notebooks. + +1. Crie um **WMI Filter** no final da árvore do GPMC. +2. Exemplo: Só Windows 10 + ```sql + SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "10.%" + ``` +3. Na GPO, selecione o filtro no menu dropdown "WMI Filtering". + +--- + +## 6. TROUBLESHOOTING (GPRESULT) + +A GPO não aplicou. E agora? + +1. Vá no PC com problema. +2. Abra CMD como admin. +3. Execute: + ```bash + gpresult /h C:\temp\relatorio_gpo.html + ``` +4. Abra o HTML. Ele mostrará: + * **Winning GPO:** Quem ganhou a configuração. + * **Denied GPOs:** GPOs negadas (WMI filter falso? Permissão negada? OU errada?). + +## 7. VALIDAÇÃO FINAL +- [ ] A GPO tem um nome claro e scopo definido? +- [ ] O WMI Filter (se usado) está correto? +- [ ] O `gpresult` confirma que a GPO chegou no cliente? diff --git a/documentacao windows/Nivel_3/[Nível 3] Gestão Centralizada via GPO.pdf b/documentacao windows/Nivel_3/[Nível 3] Gestão Centralizada via GPO.pdf new file mode 100644 index 0000000..91e4c81 Binary files /dev/null and b/documentacao windows/Nivel_3/[Nível 3] Gestão Centralizada via GPO.pdf differ diff --git a/documentacao windows/README.pdf b/documentacao windows/README.pdf new file mode 100644 index 0000000..a396e0a Binary files /dev/null and b/documentacao windows/README.pdf differ diff --git a/documentacao windows/active_directory/README.md b/documentacao windows/active_directory/README.md deleted file mode 100644 index 42958c4..0000000 --- a/documentacao windows/active_directory/README.md +++ /dev/null @@ -1,3 +0,0 @@ -# Documentação Active Directory - -Local para manuais e procedimentos referentes ao **Active Directory**. diff --git a/documentacao windows/dns/README.md b/documentacao windows/dns/README.md deleted file mode 100644 index ae7006c..0000000 --- a/documentacao windows/dns/README.md +++ /dev/null @@ -1,3 +0,0 @@ -# Documentação Dns - -Local para manuais e procedimentos referentes ao **Dns**. diff --git a/documentacao windows/firewall/README.md b/documentacao windows/firewall/README.md deleted file mode 100644 index 698a4fb..0000000 --- a/documentacao windows/firewall/README.md +++ /dev/null @@ -1,3 +0,0 @@ -# Documentação Firewall - -Local para manuais e procedimentos referentes ao **Firewall**. diff --git a/documentacao windows/gpo/README.md b/documentacao windows/gpo/README.md deleted file mode 100644 index 322eb51..0000000 --- a/documentacao windows/gpo/README.md +++ /dev/null @@ -1,3 +0,0 @@ -# Documentação Gpo - -Local para manuais e procedimentos referentes ao **Gpo**.