Você está na página 1de 7

BrasilSul Tecnologia Ltda

BrasilSul
E C N O L O G I A

Active Directory Este artigo foi escrito para quem ainda no implementou o Active Directory e para todas as pessoas que esto incertas sobre o que realmente o Active Directory. A princpio posso dizer que entender o Active Directory muito fcil, instalar o Active Directory extremamente simples. Mas tambm posso afirmar com toda a certeza, planejar o Active Directory uma tarefa rdua e extensa. Todo o sucesso da implementao do Active Directory depende de um planejamento detalhado. Caso voc tenha trinta dias para instalar o Active Directory, reserve vinte e nove para planejamento usando somente caneta e papel, e um dia na frente do seu servidor. O Active Directory ou Diretrio Ativo, ou melhor dizendo Servio de Diretrios, pode a princpio parecer complexo porque o prprio nome no nos diz muita coisa. Em uma busca aprofundada pelo Aurlio a melhor definio para o termo diretrio neste caso : [Do lat. med. directoriu (subst.).] S. m. 1. Livro que contm as indicaes necessrias para o desempenho de determinado cargo ou para a execuo de certos negcios. O Active Directory justamente isto, uma arquivo (NTDS.DIT) que mantm todas as configuraes dos usurios da rede a os seus direitos e deveres. Ancestralmente esta funo era desempenhada no NT 4.0 pelo SAM (Security Accounts Manager) Gerenciador de Segurana de Contas. Ele continha o nome do usurio, a senha, horrio permitido de logon, definio do dia de expirao de conta e informaes de perfil. O NTDS.DIT armazena uma gama de informaes muito maior, alm do fato de ser possvel acrescentar novas informaes ao Active Directory atravs da interface padro LDAP (Lightweight Access Protocol). Com certeza o Active Directory muito superior ao sistema usado no NT 4.0, mas ainda possui muitas limitaes, limitaes estas que fazem o trabalho de planejamento ser muito mais rduo. Entre estas limitaes exista a impossibilidade de juntar dois domnios existentes em um nico. Este conceito de migrar e acrescentar existe no NDS da Novell a vrios anos. Mas no se preocupem que o Windows 2002 codinome Black Comb, j est em fase de testes, pode ser que esta capacidade j esteja implementada. Voltando ao Active Directory que possumos, o primeiro passo conhecer os novos termos e conceitos. Estes conceitos sero compreendidos com o tempo, lembre-se da primeira vez que voc ouviu falar de Dir, Cls e Del pareciam cdigos indecifrveis de um mundo distante. Conceitos fundamentais Objeto Conjunto de atributos que representam algo concreto, como um usurio, impressora ou aplicao. Os atributos guardam informaes que descrevem algo sobre o objeto Container Como um objeto, mas no representa algo concreto. Contm grupos de objetos Scope O escopo do Active Directory varivel: o Pode conter cada simples objeto, cada servidor, cada domnio, etc..
Av. Pref. Osmar Cunha, 472 Centro Florianpolis SC Fone: 224-7939

BrasilSul Tecnologia Ltda

BrasilSul
E C N O L O G I A

Namespace um processo de resoluo de nomes Resoluo de nomes: traduz nome em um objeto ou informao que o nome representa o Ex.: Lista Telefnica Schema Contm uma definio formal com todos os atributos de um objeto As propriedades j setadas no Active Directory Pode ser customizado ou criado novo atributo Tree (rvore) Hierarquia de objetos e containeres Mostra como objetos esto conectados ou o caminho de um objeto a outro Componentes lgicos Objetos Domnios Organizational Units (unidades organizacionais) Trees (rvores) Forests (Florestas) Forest Um ou mais Trees que no formam um namespace contguo Todos Trees compartilham os mesmos schema, configurao e Global Catalog Global Catalog A lista de toda a forest (todos os objetos e containers contidos na forest) Servidores podem ser eleitos como GC (Global Catalog) Server para performance de pesquisas

Forest Domain

Objetos e Containers Domain Tree

Componentes fsicos Domain Controllers


Av. Pref. Osmar Cunha, 472 Centro Florianpolis SC Fone: 224-7939

BrasilSul Tecnologia Ltda


BrasilSul
E C N O L O G I A

Um computador rodando Windows 2000 Server que armazena uma rplica do AD Gerencia todo os objetos e atributos Replica o AD com outros DCs Todos os DCs podem ser utilizados para alterar o AD (cadastros, mudanas e retirada de objetos)

Global Catalog Server Um domain controller que armazena uma cpia e processa consultas ao catlogo global O primeiro da forest automaticamente criado na instalao do Active Directory Usualmente 1 GC por site o Exemplo: Um usurio procura por uma impressora com mais do que 8 ppm, colorida na corporao toda. A pesquisa processada nesse servidor. Integrao com DNS Active Directory usa o DNS para localizar servios e resolver nomes Nomes de um host em rede Windows 2000 so nomes DNS, como server1.th.com.br A rede Windows 2000 necessita de pelo menos um servidor DNS, com suporte a DNS dinmico e registros SRV (service)

Servios executados pelo DC (Domain Control) Relative ID (RID) master. O RID master aloca seqncias de RIDs para cada controlador de domnio no seu domnio. Quando um controlador de comnio cria um usurio, grupo ou computador, este lhe concede um nmero de identificao nico o SID (Security ID). O SID consiste de um domain security ID (que o mesmo para todos os SIDs criados no domnio), e um relative ID (que nico para cada SID criado no domnio). Quando o controlador de domnio esgota o range de RIDs, ele requisita outro range para o RID Master. Primary domain controller (PDC) emulator. Se o domnio ir manter um ambiente hbrido, que mantm computadores que executam windows 95/98, ou mantm Windows NT backup domain controllers (BDCs), o servio de PDC emulator atua como um Windows NT primary domain controller (PDC). Infrastructure master. O servio de infrastructure master responsvel por atualizar todas as referncias entre domnios cada vez que objeto que se refere a outro alterado. Por exemplo quando um membro de um grupo renomeado ou alterado, o servio de infrastructure master atualiza todas as referncias a este. Agora que conhecemos os principais termos e servios, vamos parte prtica, gostaria de lembrar que este tutorial somente para instalao de servidores de teste. Para quem deseja se aventurar na instalao de um servidor de produo, no mnimo faa os treinamentos bsicos da Microsoft para Windows 2000, so eles: 2151- Microsoft Windows 2000 Network & Operating System Essentials Conceitos bsicos de sistema operacional e redes. O que cabo, placa de rede, hub. Vale a pena pelos mdulos sobre TCP/IP, caso voc no saiba o que ARP, ICMP, Sockets e como calcular uma mscara de sub-rede este curso indispensvel. 2152 - Supporting Microsoft Windows 2000 Professional and Server Tudo sobre a instalao do sistema e todas as tcnicas para otimizar a instalao. Caso voc precise instalar 1000 computadores com todos os softwares adicionais em

Av. Pref. Osmar Cunha, 472 Centro Florianpolis SC Fone: 224-7939

BrasilSul Tecnologia Ltda

BrasilSul
E C N O L O G I A

14 minutos e 32 segundos (isto mesmo - quatorze minutos e trinta e dois segundos) este curso para voc. 2153 - Supporting a Network Infrastructure using Microsoft Windows 2000 Tudo sobre DHCP, DNS, WINS, IIS, RIS, VPN, IPSec, RRAS, NAT, CA Na verdade os cursos 2151 e 2152 so somente uma preparao psicolgica para este treinamento. Caso voc queira iniciar direto por este treinamento por sua prpria conta e risco. 2154 - Implementing and Administering Microsoft Windows 2000 Directory Services Aqui o cho some sob os ps, tudo que era sabido em NT 4.0 s serve para atrapalhar. Neste momento voc j tem certeza absoluta que merece um aumento de salrio. Caso voc seja um iniciado em NT 4.0 e deseja um tratamento de choque existe o curso: 1560 - Upgrading Support Skills From MS Windows NT Server 4 to Windows 2000 Aqui voc faz todos os quatro treinamentos em cinco dias, uma experincia inesquecvel. Somente para lembrar estes so os treinamentos BSICOS, aps estes iniciam os treinamentos especficos. Voltando ao Active Directory, vamos assumir que o Windows 2000 j esta instalado, caso voc tenha dvidas de como instalar, pea para o filho de algum colega de trabalho. Ou seja para instalar basta colocar o CD no drive e ligar, no mximo voc precisa conseguir digitar o seu nome e o nome do servidor. Detalhe bvio, o servidor precisa ser compatvel com Windows 2000, aquela placa de fax/modem Motorola que se seu importador pessoal trouxe da ponte, na segunda feira passada, vai lhe render um bom fim de semana de trabalho, at que voc descubra que a Motorola somente licencio o chip que qualquer empresa pode fabricar uma placa de fax/modem com este chip e da at ser compatvel com Windows 2000 existem vrias noites de sono mal dormidas. Multiplique isto por todas outros componentes de um servidor e tenha uma noo do trabalho e se a economia vale a pena. DCPROMO.EXE Este o momento em que voc vai transformar o seu novssimo sistema Pentium IIII 1GB em um belo 386SX. Exageros parte, quando fizer a promoo a controlador de domnio atravs do comando dcpromo tenha em seu servidor toda a memria RAM que o dinheiro puder comprar. Com menos de 256MB voc ira conseguir executar o notepad e olha l. Para iniciar a instalao do Active Directory e conseqentemente a promoo do servidor a Controlador de Domnio: 1 Clique em iniciar/executar 2 Digite dcpromo Observao: assegure-se que voc possui um drive formatado em NTFS, caso no tenha, converta uma partio existente. O comando : CONVERT x: /FS:NTFS Obs: Caso exista um dual boot com 95/98 esta partio no estar disponvel para este sistema operacional Ser iniciado o assistente para configurao do servidor, cuidado, pois qualquer erro pode ser fatal. Um ltimo lembrete, planeje o que ser feito, lembre-se que nem o nome do servidor pode ser alterado aps a promoo do servidor. Mas para quem gosta de viver perigosamente vamos l:

Av. Pref. Osmar Cunha, 472 Centro Florianpolis SC Fone: 224-7939

BrasilSul Tecnologia Ltda

BrasilSul
E C N O L O G I A

Aps a tela de bem vindo ser exibida a tela perguntando se este o primeiro controlador de domnio ou se o domnio j existe e este ser um controlador de domnio adicional. No nosso caso ser a primeira opo. - Clique Avanar

Criar um novo domnio ou um sub domnio. A primeira opo cria uma nova rvore de domnio. Exemplo: microsof.com A segunda opo cria sub domnios. Exemplo: brasil.microsoft.com Deixe a opo padro e clique avanar.

Av. Pref. Osmar Cunha, 472 Centro Florianpolis SC Fone: 224-7939

BrasilSul Tecnologia Ltda

BrasilSul
E C N O L O G I A

Digite o nome do domnio, normalmente o nome da empresa.com.br O Windows 2000 necessita somente de nomes DNS, mas por motivo de compatibilidade com sistemas antigos voc precisa tambm digitar um nome NetBios para o domnio. Digite-os e avance.

O sistema vai criar as pastas necessrias, basta escolher o drive e clicar em avanar. Caso voc no tenha uma partio NTFS, converta uma existente o comando :
CONVERT x: /FS:NTFS Obs: Caso exista um dual boot com 95/98 esta partio no estar disponvel para este sistema operacional.

Av. Pref. Osmar Cunha, 472 Centro Florianpolis SC Fone: 224-7939

BrasilSul Tecnologia Ltda

BrasilSul
E C N O L O G I A

Agora o Windows 2000 possui um modo de restaurao de emergncia via prompt de comandos, esta a senha para acessar este modo. Finalmente exibida a tela com o resumo das opes escolhidas, a ultima chance de mudar alguma configurao. Clique avanar e v tomar um caf, ou melhor dois.

Clique Concluir, reinicie o servidor e pronto.

Administrando o Active Directory Para quem trabalha com NT 4.0 este o momento mais trgico, um administrador de rede com anos de pratica vai demorar um bom tempo at conseguir criar uma simples conta de usurio. Na prxima edio iremos fazer uma explanao de como administrar o Active Directory e como gerenciar as opes de segurana as GPO. Para mais informaes e dvidas enviar e-mail para atendimento@brasilsulnet.com.br com o subject: Active Directory.

Av. Pref. Osmar Cunha, 472 Centro Florianpolis SC Fone: 224-7939