Profissional 5 estrelas

Windows Server 2008 Active Directory, configuration

1 Estrela

Helio Panissa Jr
MCP Brasil.com
Microsoft MVP
helio.panissa@mcpbrasil.com

Agenda
Objetivo
Viso geral

AD DS
AD LDS
AD CS
AD RMS
AD FS

Viso geral do AD DS

O que um servio de diretrios?

O que o AD DS?
Como o AD DS funciona?
Componentes da estrutura lgica do AD DS
Componentes da estrutura fsica do AD DS
Ferramentas de gerenciamento do AD DS

O que um servio de diretrio?

O servio de diretrio o repositrio de informaes sobre
objetos da rede e tambm o servio que permite que essa
informao seja utilizada.
Gerenciamento centralizado

Gerenciamento distribudo

O que o AD DS?
O Active Directory Domain Services oferece:
Gerenciamento de contas de usurio
Autenticao de usurios
Gerenciamento de contas de Computador
Acesso a recursos de rede
Servios de domnio

Componentes do Active
Directory
Componentes fsicos

Componentes lgicos

Data Store
Controladores de domnio
Global Catalog Server
Read-Only Domain Controller

Parties
Schema
Domnios
rvores de domnio
Florestas
Sites
Unidades Organizacionais (Ous)

Estrutura lgica

O que o Schema do Active Directory?

O que um domnio?
O que so relacionamentos AD DS?
O que uma rvore de domnio?
O que uma floresta?
O que uma OU?

O que o schema do Active

Directory?
Define cada tipo de objeto que pode ser armazenado no
Active Directory.
Tipo de objeto

Funo

Exemplo

Classe

Define quais novos

objetos podem ser
criados no diretrio

Classe usurio
Classe
computador

Atributo

Define quais
informaes podem
ser armazenadas
para cada objeto

Username
Display Name
Department

O que um domnio?
Domnios so componentes lgicos do servio de diretrio
que agrupam e gerenciam objetos do AD.

Um domnio prov:
Um escopo administrativo, para a aplicao de diretivas e
administrao de objetos.
Um escopo de autenticao e autorizao que prov uma
maneira de limitar o acesso a recursos.
Um escopo de replicao, para replicar dados entre
controladores de domnio.

O que so relacionamentos do
AD DS?
Um relacionamento de confiana um mecanismo que permite que
usurios acessem recursos de outros domnios.
Relacionamento

Descrio

Direcional

O fluxo vai do domnio

confiado para o domnio
confiante

Diagrama

Trust
Transitivo

O relacionamento de
confiana estendido
para outros domnios

O que uma rvore do AD DS?

Uma rvore representa uma hierarquia do servio de diretrio.
Todos os domnio da rvore:
Possuem um nome contguo.
Podem ter domnios filhos.
Possuem um relacionamento de confiana transitivo bi-direcional.

Exemplo:

mcpbrasil.local

sp.mcpbrasil.local

rj.mcpbrasil.local

O que uma floresta?

Uma floresta um conjunto de uma ou mais rvores.
As florestas:
Compartilham um schema e partio de configurao comuns
Compartilham um catlogo global comum
Compartilham o grupo Enterprise Admins e Schema Admins

Exemplo:

mcpbrasil.local

sp.mcpbrasil.local

rj.mcpbrasil.local

technetlocal

sp.technetlocal

rj.techenet.local

O que uma OU?

um objeto container do servio de diretrio que podem conter outros
objetos como usurios ou computadores.
As OUs:
Facilitam a organizao dos objetos no servio de diretrio
So utilizadas para delegao de permisses
So utilizadas para a aplicao de diretivas

Estrutura fsica

O que so controladores de domnio?

O que so global catalog servers?
O que o AD DS Data Store?
O que a replicao do AD?
O que so sites?

O que so controladores de
domnio?
um computador executando o Windows Server 2008 com o papel AD
DS instalado.
Os controladores de domnio:
Mantm uma cpia da base de dados do servio de diretrios
So responsveis pela autenticao de usurios
Replicam atualizaes para outros controladores de domnio
Permitem acesso administrativo a objetos do AD

O que so Global Catalog

Servers?
So controladores de domnio que mantm uma cpia do catlogo
global
O catlogo global:
Contm apenas alguns atributos dos objetos do Active Directory
Utilizado para aumentar a eficincia de buscas no AD
Obrigatrio para que os usurios possam efetuar logon

O que o AD DS Data Store?

o conjunto de arquivos que compe a base de dados do Active
Directory, armazenando informaes de usurios, grupos e recursos.
O AD DS Data Store:
Fica na pasta %SystemRoot%\NTDS
Arquivo ntds.dit
Arquivos de log

O que a replicao do AD?

Responsvel pela cpia de todas
controladores de domnio da floresta

as

informaes

A replicao:
Assegura a consistncia das informaes
controladores de domnio
Utiliza um modelo de replicao multi-master
Pode ser gerenciada utilizando sites do AD

entre

entre

os

todos

os

mcpbrasil.local

sp.mcpbrasil.local

rj.mcpbrasil.local

O que so sites?
Representam a estrutura fsica do Active Directory

Os sites:
Permitem o controle do fluxo de replicao
Minimizam a utilizao de banda
Associados a uma ou mais subnets IP
mcpbrasil.local

Default-First-SiteName
192.168.1.0
192.168.2.0

192.168.3.0
192.168.4.0

sp.mcpbrasil.local

rj.mcpbrasil.local

Como funciona o AD DS?

1. Os objetos representando usurios e computadores so

criados no diretrio
2. Um cliente usa uma conta de usurio para autenticar-se no
servio de diretrio
3. O usurio acessa recursos de rede
4. Os recursos de rede validam as permisses de acesso

Viso geral do AD LDS

O que o LDAP?
O que o AD LDS?
Exemplos de utilizao

O que o LDAP?
O Ligthweight Directory Access Protocol:
Protocolo de servios de diretrio
Baseado no TCP/IP
Utilizado para:
Acessar
Modificar
Buscar

O que o AD LDS?
Active Directory Lightweight Directory
Services:
Servio baseado em LDAP
Usado para aplicaes

Caractersticas
Pode executar mltiplas instncias em nico
computador
No requer infra-estrutura de DNS
Pode ser modificado de acordo a aplicao

Exemplos de utilizao
Autenticao Web
Otimizao de segurana de log on para
aplicaes
Armazenamento de configuraes de
aplicaes
Exemplo: Edge Server (Microsoft Exchange)

Viso geral do AD CS
O que PKI?
Exemplos de utilizao de certificados
digitais
O que o AD CS?
Exemplos de implementao
Como funciona?

O que PKI?
Uma PKI representa os servios e componentes
necessrios para gerar, gerenciar e distribuir certificados
digitais.
Componentes
Certificate Authorities (CA)
Certificate Revocation Lists (CRL)

Ferramentas de gerenciamento

Certificados Digitais

Exemplos de utilizao de
certificados digitais
Acesso seguro a aplicaes (Ex. Home
Banking)
Identificao de usurios
Autenticao

O que o AD CS?
Active Directory Certificate Services:
Implementao da Microsoft do CA

Prov:
Funcionalidades de Certificate Authority
Gerao manual e automatizada de certificados
digitais
Revogao de certificados

Como o AD CS Funciona?
CA

Auto-Enrollment:
1. O usurio ou computador so autenticados no AD DS
2. O CA obtm as diretivas de certificado do AD DS
3. Caso existam diretivas e permisses, um certificado gerado
para o usurio

Como o AD CS Funciona? (Cont)

CA

Manual-Enrollment:
1. O usurio acessa a interface e solicita um certificado
2. O certificado gerado
3. E instalado no computador cliente

Viso geral do AD RMS

O que o AD RMS?
Exemplos de implementao

O que o AD RMS?
Active Directory Rights Management Server
Soluo para proteger informaes armazenadas
em documentos, mensagens de correio
eletrnico e web sites

Funcionalidades
Ajuda a proteger informao sensvel
Proteger contedo
Controle de expirao de dados

Exemplos de implementao
Implementar o AD RMS para:
Que o gerador da informaes crie diretivas de
acesso a informao
Documentos
Mensagens de correio eletrnico

Viso geral do AD FS
O que o AD FS?
Fluxo de dados em um cenrio B2B
Como funciona?

O que o AD FS?
Permite a criao de relacionamentos de
confiana entre duas organizaes
Prov acesso para aplicaes entre
organizaes
Prov SSO (Single Sign-On) entre dois
diretrios diferentes para aplicaes
baseadas em web

Fluxo em um cenrio B2B

Como funciona o AD FS?

1. O usurio acessa uma aplicao web em outra organizao

2. A aplicao redireciona a autenticao para o servidor AD FS
3. O parceiro de recursos do AD FS responde ao cliente
indicando que ele pode obter um token de segurana no
servidor AD FS no parceiro de contas
4. O cliente solicita o token
5. O cliente acessa a aplicao

Resumo Final
AD DS
Infra-estrutura de servios de diretrio

AD LDS
Soluo de diretrio baseada em LDAP

AD CS
Infra-estrutura de chaves pblicas

AD RMS
Gerenciamento de direitos

AD FS
Acesso federado a recursos

Screen Cast

Para mais
informaes
Visite (e cadastra-se)TechNet Brasil
http://www.microsoft.com/brasil/technet/

Artigos tcnicos traduzidos para o portugus

Frum de discusso
Relacionamento com outros profissionais de TI
Relacionamento com funcionrios Microsoft