Aula 03 - Active Directory Parte 1

Laboratrio de Desenvolvimento III
Fabio Brussolo

1

Aul a 03 Ac t i ve Di r ec t ory
Sumri o
3.0 - Objetivo desta aula ........................................................................................................... 2
3.1 Introduo ...................................................................................................................... 2
3.2 Conceito de Diretrio ...................................................................................................... 2
3.2.1 Aplicaes de Diretrios no mundo da Informtica ................................................... 3
3.2.2 Prtica de Diretrio em Empresas ............................................................................. 5
3.3 Domnios e Grupos de Trabalho (Workgroup) ............................................................... 7
3.3.1 Funcionamento de uma Rede baseada no modelo Workgroup............................... 7
3.4 - Funcionamento de uma rede baseada no Conceito de Diretrio Domnio ................... 8
3.5 rvores de Domnio e Unidades Organizacionais .......................................................... 8
3.6 Active Directory .......................................................................................................... 10
3.7 rvore de Domnio ..................................................................................................... 11
3.8 Unidades Organizacionais ........................................................................................... 12
3.9 Contas de Usurios, Computadores e Grupos de Usurios .......................................... 12
3.9.1 - Contas de Usurios ............................................................................................... 12
3.9.2 Grupos de Usurios .............................................................................................. 13
3.10 Instalao do AD.......................................................................................................... 14
3.10.1 - Instalando o Active Directory .............................................................................. 15
3.10.2 - Servio de DNS do Windows Server 2008 R2 ....................................................... 25
3.11 Exerccios Prtica ................................................................................................... 31
3.11.1 Utilizando a sua mquina virtual com o Windows Server 2008, desenvolva: ....... 31

Fabio Brussolo

2

3.0 - Objetivo desta aula
Nesta aula ser apresentado uma viso geral sobre o Active Directory, sendo
demonstrado o conceito de Diretrio, Domnios e Workgroups.
3.1 Introduo
O Active Directory foi, sem dvidas, a grande novidade do Windows 2000
Server em relao ao Windows NT Server 4.0. No Windows Server 2008 o Active
Directory tambm o elemento central, fundamental, sobre o qual planejada e im-
plementada uma infra-estrutura de rede. O Active Directory fornece os meios para
gerenciar identidades e relacionamentos que compem a rede da organizao. Inte-
grado ao Windows Server 2008 R2, o Active Directory fornece a funcionalidade ime-
diata necessria para configurar e administrar centralmente os parmetros do siste-
ma, de usurios e aplicativos.
3.2 Conceito de Diretrio
Diretrios por si s no so difceis de serem compreendidos. Uma estrutura
organizada em diretrios tem por finalidade facilitar a busca de informaes armaze-
nadas na mesma. Sua existncia fundamentada na necessidade da indicao de
direes.
Imagine que voc precise pesquisar uma palavra no dicionrio, primeiro voc
pega o dicionrio procura a letra inicial da palavra desejada e depois procura a pala-
vra que se deseja encontrar, sendo que cada uma dessas etapas tem relao de
dependncia e so organizadas de forma hierrquica.
Eles possuem o mesmo princpio de orientao do dicionrio e so organiza-
dos de forma hierrquica onde um principal, chamado de raiz, a base para todos
os demais. Os diretrios pertencentes a tal podem conter outros que por sua vez
podem conter outros e assim sucessivamente formando uma hierarquia onde a or-
ganizao da mesma recebe o nome de rvore.
Esta estrutura guia o usurio para facilitar a procura de uma informao, pas-
sando desde a raiz, depois pelos diretrios subjacentes at se chegar informao
desejada.
Fabio Brussolo

3

Sua organizao deve ser de uma forma lgica e coerente, para que suas di-
rees sempre estejam corretas. Imagine agora que voc est procurando uma pa-
lavra no dicionrio que comece com a letra A, mas a palavra foi colocada entre as
de letra B, isso geraria uma dor de cabea terrvel, afinal ao invs de ajudar a dire-
o estaria atrapalhando, contrariando o princpio de sua existncia.
3.2.1 Apli caes de Diretrios no mundo da Informtica
Trigo (2007, p. 18), define Diretrio como sendo um servio de armazena-
mento hierrquico de informaes com o objetivo principal de facilitar a pesquisa e a
recuperao dessas informaes. Por sua vez, Tuttle (2003, doc. eletrnico) des-
creve o diretrio como uma lista de informaes sobre objetos organizados ou cata-
logados em uma ordem, e que fornece o acesso aos dados dos objetos.
Na informtica tudo o que precisa de organizao utiliza o princpio de diret-
rios: sistemas de arquivos, protocolos de transferncia de arquivos, sistemas de ar-
mazenamento WEB, banco de dados e at mesmo o editor de registro do MS-
Windows. Ou seja, seu conceito usado por tudo que precise de organizao, mas
apesar de ser organizado em forma de diretrios, o servio usado no necessari-
amente um servio de diretrio, podendo vir a usufruir da utilizao de um.
O servio de diretrio responsvel por prover o armazenamento, a organi-
zao das informaes durante a escrita e o armazenamento, para futuro resgate
por terceiros. uma ferramenta a mais que pode ser usada para complementar
utilizao de outros servios facilitando manuteno, a busca e localizao de dados
por usurios e aplicativos, onde todos os servios compartilham o mesmo servidor
de diretrio e a mesma rvore de informaes.
A utilizao de um servio de diretrio se justifica no mbito de redes de com-
putadores, sendo ela de pequeno, mdio ou grande porte, pois ao utilizar um servi-
dor de diretrios, os dados atualizados ficaro disponveis a todos os servios da
rede, facilitando e muito a vida dos administradores, atravs da utilizao do concei-
to denominado centralizao de informaes.
Com a centralizao ficar muito mais fcil a manuteno dos dados, tal co-
mo a disponibilizao de novas informaes na rede. Imagine uma empresa onde
existem dez mquinas e todas elas devem manter dados de clientes atualizados em
Fabio Brussolo

4

diversos aplicativos. Caso no utilizem um servio de diretrio, a manuteno destes
teria que ser feita na base de dados de cada aplicativo onde seria difcil dar a garan-
tia de que os dados, em todos eles, ficariam 100% sincronizados.
O servio de diretrio aquele que armazena informaes de forma hierr-
quica, obedecendo aos critrios que regem seu princpio de organizao, possibili-
tando buscas e consultas, podendo ser ou no distribudos, disponibilizando suas
informaes para auxiliar outros servios, protocolos e aplicativos.
Quando se fala em diretrios distribudos, isto significa que se ir trabalhar
com mais de um servidor de diretrios. Uma rvore de diretrios considerada dis-
tribuda quando ela est armazenada em dois ou mais servidores. Apesar da rvore
estar fisicamente separada, a pesquisa continua centralizada e todos os dados per-
tencem mesma rvore, sendo que em cada servidor h referncias para os ns da
rede em que esto os demais servidores, de forma que logicamente a rvore de di-
retrios seja uma s.
Uma busca pode ser realizada atravs do princpio da rvore (raiz) ou a partir
de um n, indicado pelo usurio, que esteja mais prximo da informao desejada,
sendo que no segundo caso a resposta ser mais rpida. No caso de diretrios dis-
tribudos, a pesquisa ser realizada primeiro no servidor raiz e depois passa pelos
demais. Caso seja estipulado pelo usurio um servidor especfico para se iniciar a
pesquisa, a resposta ser consideravelmente mais rpida, pois ao invs de pesqui-
sar em todos os servidores, a pesquisa ser feita a partir de um ponto especfico da
rvore.
J no caso dos diretrios distribudos que utilizem meios externos, como a in-
ternet, a pesquisa ser feita inicialmente no servidor ou servidores locais. Se a in-
formao no for encontrada o servidor local redirecionar a busca para os servido-
res externos, tendo um tempo de resposta consideravelmente mais lento, j que a
banda da internet muito menor que a de uma rede local. Claro que em todos os
casos citados acima, para que as buscas ocorram da forma esperada inevitvel
que os servidores de diretrios sejam previamente configurados de forma correta
pelo tcnico responsvel ou o administrador da rede.
Fabio Brussolo

5

3.2.2 Prti ca de Diretrio em Empresas
Em uma empresa, normalmente o usurio para realizar o seu trabalho dirio,
tem que acessar aplicaes e servios em diferentes plataformas e modelos, o que
implica um login e senha diferente, para cada um dos sistemas acessados:
No Mainframe: alguns sistemas da empresa (muitas vezes a maioria dos sis-
temas) ainda esto no Mainframe, com acesso atravs de aplicativos emula-
dores de Terminal, instalados na estao de trabalho do usurio. Estes apli-
cativos mantm a interface a caractere, tpica da poca do Mainframe. A to
famosa telinha preta com letras verdes. Por exemplo, pode ser que o sistema
de banco ou de uma rede de supermercados (fazendo controle de vendas,
contas, saldos, etc.) ainda esteja no Mainframe.
Em aplicaes Cliente/Servidor de 2 camadas: medida que houve uma mi-
grao do Mainframe em direo ao cliente/servidor, muitas aplicaes do
Mainframe foram substitudas por aplicaes Cliente/Servidor tradicionais. Por
exemplo, podemos ter uma situao onde o sistema de banco de dados de
vendas foi migrado do Mainframe para uma aplicao cliente/servidor. Os da-
dos esto em um ou mais servidores da rede e a aplicao cliente instalada
na estao de trabalho do usurio.
Sistema de e-mail e intranet da empresa: praticamente impossvel que a
sua empresa no tenha um sistema de e-mail instalado. Com isso voc utiliza
mais um aplicativo (o cliente de e-mail) para acessar o seu correio eletrnico.
Voc tambm utiliza o navegador para acessar a intranet da empresa. Se a
sua empresa J evolui bastante no uso da Tecnologia da Informao, pro-
vvel que voc use o navegador para acessar o Portal Corporativo da empre-
sa. E aqui temos mais um diretrio, com mais um cadastro de usurios, pro-
vavelmente no integrado com os demais diretrios da empresa, o que impli-
ca em mais um login e senha parti o usurio memorizar. Como tudo na vida
tem o lado bom e o lado ruim, o lado bom disso tudo que o usurio vai trei-
nando a sua memria.
Neste cenrio descrito anteriormente, onde o usurio tem que acessar siste-
mas em diferentes ambientes, necessrio um login e senha para cada ambiente.
Por exemplo, no sistema de grande porte, o login pode ser a matrcula do funcion-
Fabio Brussolo

6

rio e uma senha por ele escolhida. Na rede, o login a primeira parte do seu e-mail,
por exemplo foliveira e, uma senha por ele escolhida. No sistema de e-mail, mais
uma senha. Em cada aplicao Cliente/Servidor, mais uma senha e assim por dian-
te. Para piorar um pouco a situao, a senha do Mainframe expira, por exemplo, a
cada 30 dias e ele no pode repetir as ltimas cinco senhas. A senha da rede expira
a cada 60 dias e ele no pode repetir as ltimas treze senhas. A do e-mail expira a
cada 45 dias e ele no pode repetir as ltimas 10. A do sistema xyz expira a cada 40
dias e ele no pode repetir as ltimas 6.
Observe que em cada ambiente existe um banco de dados para cadastro do
nome do usurio, senha e outras informaes, como por exemplo, seno, matrcula
e assim por diante. Este banco de dados com informaes sobre os usurios da re-
de um exemplo tpico de Diretrio. Ento no Mainframe, onde existe um cadastro
de usurios, senhas e perfil de acesso de cada usurio, existe um Direrri o. Na re-
de, onde existe um cadastro de usurios, senha, nome, seno, matrcula, etc., temos
mais um diretrio. No sistema de e-mail, onde est cadastrado o e-mail do usurio,
senha, grupos, etc., temos um terceiro diretrio e assim por diante. Observe que pa-
ra cada diretrio (o que implica cadastro em um determinado sistema), o usurio tem
uma senha. Ento um diretrio nada mais do que um cadastro, ou melhor ainda,
um banco de dados com informaes sobre usurios, senhas e outros elementos
necessrios ao funcionamento de um sistema, quer seja um conjunto de aplicaes
no Mainframe, um grupo de servidores da rede local, o sistema de e-mail ou outro
sistema qualquer.
Quando criamos um novo usurio, estamos utilizando o servio de diretrio,
estamos guardando, nomes, sobrenomes, endereos, logins, senhas, grupos, ao
qual o usurio pertence dentre outras tantas opes que podemos cadastrar, tudo
isto ficar disponvel dentro de uma base de dados, esta base de dados poder ser
utilizada pelos nossos servidores para vrios trabalhos. A seguir dado trs exem-
plos de servio de diretrio:
Open Ldap para Sistemas Open Source;
EDirectory para Sistemas Novell;
Active Directory para Sistemas Microsoft e com suporte para todos acima ci-
tados.
Fabio Brussolo

7

No mercado de hoje nossos negcios precisam ter informaes rpidas, de
fcil atualizao, alta disponibilidade e principalmente muita segurana e o Active
Directory pode nos oferecer todos estes atributos e muito mais.
3.3 Domnios e Grupos de Trabalho (Workgroup)
Uma rede baseada no Windows Server 2008 pode ser criada utilizando-se
dois conceitos diferentes, dependendo da maneira com que os Servidores Windows
Server 2008 so configurados. Os servidores podem ser configurados para fazerem
parte de um Domnio ou de um Grupo de Trabalho, mais comumente chamado de
Workgroup.
3.3.1 Funcionamento de uma Rede baseada no modelo Workgroup
Em uma rede baseada no modelo de Workgroups, cada servidor indepen-
dente do outro, ou seja, os servidores do Workgroup no compartilham uma lista de
usurios, grupos e outras informaes. Cada servidor tem a sua prpria lista de usu-
rios e grupos.
Agora imagine o usurio Paulo, que est utilizando a sua estao de trabalho.
Ele tenta acessar um recurso (por exemplo, uma pasta compartilhada) no Servidor
01. Uma janela de login exibida. Ele fornece o seu nome de usurio e senha, e o
acesso (desde que ele tenha as devidas permisses) liberado. Agora este mesmo
usurio -- Paulo, tenta acessar um recurso no Servidor 02. Novamente uma tela de
login exibida e ele fornece o seu nome de usurio e senha. O acesso negado,
com uma mensagem de usurio invlido. Ora, isso acontece porque o usurio Paulo
somente est cadastrado no Servidor 01; para o Servidor 02 e para o Servidor 03
como se o usurio Paulo no existisse (usurio invlido). Para que o usurio Paulo
possa acessar recursos dos servidores 02 e 03, o Administrador deveria criar uma
conta chamada Paulo nestes dois servidores.
Outro cenrio, imagine que o usurio Paulo foi cadastrado pelo administrador
com a conta Paulo e senha: abcl23de. Muito bem, o administrador fez o cadastro do
usurio paulo nos trs servidores da rede da empresa: Servidor 01, Servidor 02 e
Servidor 03. Agora, cerca de 30 dias depois, o usurio paulo resolveu alterar a sua
senha. Vamos supor que ele estava conectado ao Servidor 03, quando fez a altera-
o da sua senha para: xyz123kl. Com isso, sua senha foi alterada apenas no Ser-
Fabio Brussolo

8

vidor 03 e isso pode ter sido um grande erro do usurio nesse momento. O usurio
agora possui duas senhas diferentes. Ser uma confuso para o usurio e um traba-
lho em dobro para o Administrador.
3.4 - Funcionamento de uma rede baseada no Conceito de Diretrio Domnio
No modelo baseado em diretrio, ns temos uma base de usurios nica, ou
seja, todos os servidores da rede compartilham a mesma base de usurios. O que
acontece, na prtica, no que existe uma nica base, armazenada em um deter-
minado servidor, e todos os demais servidores acessam esta base. No, no isso
o que ocorre na prtica que todos os servidores contm uma cpia da base de in-
formaes do diretrio.
Alteraes efetuadas em um dos servidores so replicadas para os demais
servidores da rede, para que todos fiquem com uma cpia idntica da base de da-
dos do diretrio. O que caracteriza uma rede baseada em diretrio o fato de todos
os servidores terem acesso mesma base de dados, ou seja, todos compartilham o
mesmo diretrio, com as mesmas informaes sobre usurios, senhas, grupos de
usurios, poltica de segurana, etc.
3.5 rvores de Domnio e Uni dades Organizacionais
No Windows Server 2008, o conjunto de servidores, estaes de trabalho,
bem como as informaes do diretrio, que formam uma unidade conhecida como
Domnio. Todos os servidores que contm uma cpia da base de dados do Active
Directory fazem parte do domnio. As estaes de trabalho podem ser configuradas
para fazer parte do domnio. Cada estao de trabalho que faz parte do domnio tem
uma conta de computador criada no domnio. A conta de computador tem o mesmo
nome do computador. Por exemplo, a estao de trabalho micro-001 tem uma conta
de computador na base de dados do Active Directory com o nome de micro-001.
Um domnio pode tambm ser definido como um limite administrativo e de se-
gurana. Ele um limite administrativo, pois as contas de Administrador tm permis-
ses de acesso em todos os recursos do domnio, mas no em recursos de outros
domnios. Ele um limite de segurana porque cada domnio tem definies de pol-
ticas de segurana que se aplicam s contas de usurios e demais recursos dentro
de domnio e no a outros domnios. Ou seja, diferentes domnios podem ter diferen-
Fabio Brussolo

9

tes polticas e configuraes de segurana. Por exemplo, no domnio A, um usurio
pode ter uma poltica de segurana que define um tamanho mnimo de senha com 8
caracteres. Esta poltica ser vlida para todas as contas de usurio do domnio A.
Um segundo domnio B pode ter uma poltica de segurana diferente, a qual define
um tamanho mnimo de senha de 12 caracteres. Esta poltica ser vlida para todas
as contas de usurios do domnio B.
Um Domnio simplesmente um agrupamento lgico de contas e recursos, os
quais compartilham polticas de segurana. As informaes sobre os diversos ele-
mentos do domnio (contas de usurios, contas de computador, grupos de usurios,
polticas de segurana, etc.), esto contidas dentro do banco de dados do Active
Directory.
Em um domnio baseado no Active Directory e no Windows Server 2008
possvel ter dois tipos de servidores Windows Server 2008:
Controladores de Domnio (DC Domain Controllers)
Servidores Membro (Member Servers)
A criao de contas de usurios, grupos de usurios e outros elementos do
Active Directory, bem como alteraes nas contas de usurios, nas polticas de se-
gurana e em outros elementos do Active Directory, podem ser feitas em qualquer
um dos Controladores de Domnio. Uma alterao feita em um DC ser automatica-
mente replicada para os demais Controladores de Domnio. Por isso se voc cria
uma conta para o usurio jsilva e cadastra uma senha para este usurio, essa conta
passa a ser vlida em todo o domnio, sendo que o usurio jsilva pode receber per-
misses para acessar recursos e servios em qualquer servidor do Domnio, seja em
um Controlador de Domnio ou em um Servidor Membro.
Em um Domnio, todos os Controladores de Domnio compartilham uma lista
de usurios, grupos e polticas de segurana, alm de algumas outras caractersti-
cas que falarei no tpico sobre o Active Directory. Alm disso, as alteraes feitas
em um dos Controladores de Domnio so automaticamente replicadas para os de-
mais.
Fabio Brussolo

10

Os DCs tambm so responsveis por fazer a autenticao dos usurios na
rede. Por exemplo, o usurio jsilva trabalha em uma estao de trabalho com o Win-
dows. Esta estao foi configurada para fazer parte de um domnio. Quando o usu-
rio jsilva liga a estao de trabalho e o Windows inicializado, apresentada a tela
de logon para que ele fornea o seu nome de usurio e senha. O Windows precisa
verificar se o nome de usurio e senha est correto. O Windows tenta localizar um
DC na rede. no DC que a verificao feita, comparando as informaes digitadas
pelo usurio com as informaes da base de dados do Active Directory. Se as infor-
maes esto OK, o logon liberado, o usurio autenticado e a rea de trabalho
do Windows exibida. A partir deste momento, toda vez que o usurio tentar aces-
sar um recurso do domnio, ser apresentada a sua autenticao (a qual tecnica-
mente conhecida como token de acesso) para provar a identidade do usurio para a
rede. Isso evita que o usurio tenha que entrar com o seu logon e senha cada vez
que for acessar um recurso em um servidor diferente.
3.6 Acti ve Directory
O Active Directory o servio de diretrios do Windows Server 2008. Um
Servio de Diretrios um servio de rede, o qual identifica todos os recursos dis-
ponveis em uma rede, mantendo informaes sobre estes dispositivos (contas de
usurios, grupos, computadores, recursos, polticas de segurana, etc.) em um ban-
co de dados e torna estes recursos disponveis para usurios e aplicaes.
Os recursos disponveis atravs do Active Directory so organizados de uma
maneira hierrquica, atravs do uso de Domnios. Uma rede na qual o Active Direc-
tory est instalado pode ser formada por um ou mais Domnios. Com a utilizao do
Active Directory, um usurio somente precisa estar cadastrado em um nico Dom-
nio, sendo que este usurio pode receber permisses para acessar recursos em
qualquer um dos Domnios que formam a rvore de domnios da empresa.
O Active Directory utiliza o DNS (Domain Name System) como servio de no-
meao de recursos e de resoluo de nomes. Por isso, um dos pr-requisitos para
que o Active Directory possa ser instalado e funcionar perfeitamente que o DNS
deve estar instalado e corretamente configurado. O assistente de instalao do Acti-
ve Directory capaz de instalar e configurar o DNS, caso ele no encontre um ser-
vidor DNS adequadamente configurado na rede.
Fabio Brussolo

11

Todo Domnio possui as seguintes caractersticas:
Todos os objetos de uma rede (contas de usurios, grupos, impressoras, pol-
ticas de segurana, etc.) fazem parte de um nico domnio. Cada domnio
somente armazena informaes sobre os objetos do prprio domnio.
Cada domnio possui suas prprias polticas de segurana, ou seja, no exis-
te herana de polticas de segurana entre domnios diferentes. Se o domnio
A possui a poltica A e o domnio B possui a poltica B, isso significa que a po-
ltica A ser aplicada apenas no domnio A e a poltica B ser aplicada ape-
nas no domnio B.
3.7 rvore de Domnio
Quando existem diversos domnios relacionados atravs de relaes de con-
fiana, criadas e mantidas automaticamente pelo Active Directory, temos uma rvore
de domnios. Uma rvore nada mais do que um agrupamento ou arranjo hierrqui-
co de um ou mais domnios do Windows Server 2008, os quais "compartilham um
espao de nome.

Figura 3. 1 - Domnio de uma rvore compartilhando um espao de nomes emcomum
O domnio inicial microsoft.com. Os domnios seguintes so: ve-
das.microsoft.com e suporte.microsoft.com. Quando formada uma hierarquia de
domnios, compartilhar um espao de nomes significa que os nomes dos objetos
filho (de segundo nvel, por exemplo: vendas.microsoft.com e supor-
te.microsoft.com), contm o nome do objeto pai(microsoft.com). Por exemplo, ven-
Fabio Brussolo

12

das.microsoft.com contm microsoft.com. Descendo mais ainda na hierarquia, voc
pode observar que este caso continua verdadeiro. Por exemplo, o objeto filho siste-
mas.vendas.microsoft.com contm o nome do objeto Pai vendas.microsoft.com, o
qual por sua vez contm o nome do seu objeto pai microsoft.com. Com isso, uma
rvore de diretrios deste tipo forma um espao de nomes contnuo, onde o nome
do objeto filho sempre contm o nome do objeto pai.
3.8 Unidades Organizacionais
Uma Unidade Organizacional uma diviso que pode ser utilizada para orga-
nizar os objetos de um determinado domnio em um agrupamento lgico para efeitos
de administrao. Com a utilizao de Unidades Organizacionais, possvel restrin-
gir os direitos administrativos apenas a nvel da Unidade Organizacional, sem que
com isso o usurio tenha poderes sobre todos os demais objetos do Domnio.
Cada domnio pode implementar a sua hierarquia de Unidades Organizacio-
nais, independentemente dos demais domnios, isto , os diversos domnios que
formam uma rvore no precisam ter a mesma estrutura hierrquica de unidades
organizacionais.
Na Figura 3.1, o domnio vendas.microsoft.com poderia ter uma estrutura hie-
rrquica de Unidades Organizacionais projetada para atender s necessidades do
domnio vendas. Essa estrutura poderia ser completamente diferente da estrutura do
domnio suporte.microsoft.com, a qual ser projetada para atender s necessidades
do domnio suporte. Com isso tem-se uma flexibilidade bastante grande, de tal forma
que a rvore de domnios e a organizao dos domnios em uma hierarquia de Uni-
dades Organizacionais possam atender perfeitamente s necessidades da empresa.
3.9 Contas de Usuri os, Computadores e Grupos de Usurios
3.9.1 - Contas de Usurios
Uma conta de usurio um objeto do Active Directory, o qual contm diver-
sas informaes sobre o usurio, conforme descrito anteriormente. importante sa-
lientar que a conta somente precisa ser criada uma vez, em um dos Controladores
de domnio. Uma vez criada, a conta ser replicado para todos os demais DCs do
domnio.
Fabio Brussolo

13

Com base nas contas de usurios e grupos, o administrador pode habilitar ou
negar permisses de acesso aos recursos da rede. Por exemplo, o administrador
pode restringir o acesso a pastas e arquivos compartilhados na rede, definindo quais
usurios podem ter acesso e qual o nvel de acesso de cada usurio (leitura, leitura
e alterao, excluso e assim por diante). Mais um bom motivo para que cada usu-
rio tenha a sua prpria conta e senha.
Quando for criar nomes de logon para os usurios, leve em considerao os
seguintes detalhes +Nomes de Usurios do Domnio devem ser nicos dentro do
Domnio.
Podem ter no mximo 256 caracteres
Caracteres Especiais no podem ser utilizados:
No pode ser formado somente por pontos ou espaos em branco
3.9.2 Grupos de Usuri os
Um grupo de usurios uma coleo de contas de usurios. Por exemplo,
pode-se criar um grupo chamado Contabilidade, do qual faro parte todos os usu-
rios do departamento de Contabilidade (conta do usurio).
A principal funo dos grupos de usurios facilitar a administrao e a atri-
buio de permisses para acesso a recursos, tais como: pastas compartilhadas,
impressoras remotas, servios diversos, etc. Ao invs de dar permisses individual-
mente, para cada um dos usurios que necessitam acessar um determinado recur-
so, cria-se um grupo, inclui os usurios no grupo e atribui permisses para o grupo.
Para que um usurio tenha permisso ao recurso, basta incluir o usurio no grupo,
pois todos os usurios de um determinado grupo, herdam as permisses dos grupos
aos quais o usurio pertence.
Quando estiver trabalhando com grupos de usurios, considere os fatos a se-
guir:
Grupos uma coleo de contas de usurios.
Os membros de um grupo herdam as permisses atribudas ao grupo.
Os usurios podem ser membros de vrios grupos.
Grupos podem ser membros de outros grupos
Fabio Brussolo

14

Contas de computadores podem ser membros de um grupo.
3.10 Instalao do AD
Quando voc instala o AD DS no Windows Server 2008 voc tem vrias no-
vas opes de instalao, onde ambas esto disponveis atravs do Active Directory
Domain Services Installation Wizard e em uma instalao unattended atravs da li-
nha de comando. As novas opes de instalao disponveis so:
DNS Server: No Windows Server 2008 a instalao e configurao do DNS
Server so automticas quando necessrio. Quando voc instala o DNS Ser-
ver sobre o primeiro Domain Controller dentro de um novo domnio filho no
Windows Server 2008, a delegao para o novo domnio criado automati-
camente no DNS Server.
Global Catalog Server: No Windows Server 2008 quando voc est instalando
um Domain Controller voc tem a opo de adicionar a funo de Global Ca-
talog Server durante a instalao.
RODC: O Read-Only Domain Controller (RODC) uma opo nova de Do-
main Controller no Windows Server 2008. O primeiro Domain Controller na
floresta ou domnio no pode ser um RODC.
Um controlador de domnio s de leitura (RODC) um novo tipo de controla-
dor de domnio do Windows Server 2008. Com um RODC, as organizaes podem
facilmente implantar um controlador de domnio em locais onde a segurana fsica
no pode ser garantida. Um RODC hospeda parties somente para leitura dos da-
dos. Antes do lanamento do Windows Server 2008, se os usurios tinham de au-
tenticar com um controlador de domnio por uma rede WAN, no havia alternativa
real. Em muitos casos, esta no era uma soluo eficiente. Delegaes muitas ve-
zes no podem prestar a devida segurana fsica, que necessrio para um contro-
lador de domnio gravvel. Alm disso, muitas vezes nos deparamos com redes
Precrias conectados a um hub site. Isto pode aumentar a quantidade de tempo
que necessrio para fazer o logon. Tambm pode dificultar o acesso aos recursos
da rede.
Fabio Brussolo

15

3.10.1 - Instalando o Acti ve Directory
1 Clique em Start, Run e digite dcpromo.exe. Ser carregado o Active Directory
Domain Service Installation Wizard.

Figura 3. 2 Tela Active Directory Domain Service Installation Wizard
- Use Advanced Mode Instal lation - Modo de instalao avanada fornece aos
usurios experientes com mais controle sobre o processo de instalao, sem con-
fundir os usurios mais recentes com opes de configurao que podem no estar
familiarizados. Para os usurios que no selecionem o modo avanado, o assistente
usa opes padro que se aplicam a maioria das configuraes.

Figura 3. 3 - Opes de Advanced Mode Installation
Fabio Brussolo

16

2 - Operating System Compatibility (Figura 3.4) que exibido um alerta sobre o novo
padro de segurana do Windows Server 2008, o qual informa que ele poder cau-
sar problemas em clientes Windows NT 4.0, clientes no Microsoft SMB e dispositi-
vos NAS, que no suportam algoritmo de criptografia forte. Se a sua rede micro-
soft e no tem nenhum NT ou se esta a sua primeira instalao no se preocupe,
clique em Next.

Figura 3. 4 - OperatingSystem Compatibility
3 - Choose a Deployment Configuration (Figura 3.5) voc tem a opo de criar um
Domain Controller para uma floresta existente (Existing forest) ou criar um novo Do-
main Controller para uma nova floresta (Create a new domain in a new forest). Como
estamos criando o primeiro Domain Controller da floresta selecione a opo Create
a new domain in a new forest e em seguida clique em Next.
Fabio Brussolo

17

Figura 3. 5 - Choose a Deployment Configuration
Detalhe: Se voc receber a mensagem a seguir, (Figura 3.6) Significa que a
conta local de Administrador no possui uma senha definida, isso pode ocorrer caso
no tenha criado uma senha no ato da instalao do sistema. Por padro a senha
deve ser complexa. D OK, faa a correo e clique em Next Novamente.

Figura 3. 6 - Administrador no possui uma senha definida
4- Name the Forest Root Domain (Figura 3.7) voc ir definir o nome do domnio raiz
da floresta. Digite um nome FQDN (Fully Qualified Name) e em seguida clique em
Next.
Fabio Brussolo

18

Figura 3. 7 - Name the Forest Root Domain
Detalhe: Automaticamente o assistente de instalao do Active Directory veri-
fica se o nome FQDN e NetBIOS escolhidos j esto em uso na floresta. Estando
tudo ok dada continuidade na instalao.
5- Set Forest Functional Level (Figura 3.8) O nvel funcional da floresta ir fornecer
os recursos disponveis conforme o nvel selecionado, por exemplo, se voc selecio-
nar o nvel funcional Windows 2000 voc ter compatibilidade com Domain Control-
lers com Windows 2000, porm alguns novos recursos do Windows Server 2008 no
estaro disponveis, por isso importante fazer essa seleo corretamente.
Os nveis de florestas disponveis so:
Windows 2000 - Todos os recursos padro do Active Directory para Windows
2000
Windows Server 2003 - Todos os recursos padro do Active Directory dispo-
nveis no Windows 2000 e os adicionis para o 2003.
Windows Server 2008 - Esse nvel funcional fornece todos os recursos dispo-
nveis no nvel funcional de floresta do Windows Server 2003, mas nenhum
recurso adicional. Entretanto, todos os domnios que forem adicionados sub-
sequentemente floresta funcionaro no nvel funcional de floresta de dom-
nio Windows Server 2008 por padro.
Windows Server 2008 R2 Todas as funes disponveis para Windows 2008
Server mais a nova funo Active Directory Recicle Bin
Fabio Brussolo

19

O Active Directory Recycle Bin uma ferramenta do Windows Server 2008 R2
que proporciona a habilidade de recuperar objetos previamente excludos sem a ne-
cessidade de parar o servidor para a restaurao de um backup. Quando temos o
Recycle Bin habilitado, podemos restaurar um objeto com todos os seus atributos
intactos sem perca de tempo. Ativaremos essa funo no decorrer do artigo.
Detalhe: Ao Definir o nvel funcional da floresta para Windows Server 2008 R2
o Nivel funcional de DOMNIO definido automaticamente para Windows Server
2008 R2, voc poder adicionar controladores de domnio que estejam rodando
apenas o Windows Server 2008 R2.

Figura 3. 8 - Set Forest Functional Level
6 Para esse Exemplo vamos selecionar o Windows Server 2008 R2, mas se voc
tem a necessidade de selecionar 2000 / 2003 ou o 2008 ao clicar em Next ser soli-
citado agora o nvel funcional para o Dominio Set Domain Functional Level.
Fabio Brussolo

20

Figura 3. 9 - Set Domain Functional Level
O nvel funcional do domnio ir fornecer os recursos disponveis conforme o
nvel selecionado, ao selecionar um determinado nvel, uma explicao exibida pra
o usurio na prpria tela. Selecione o Nivel Funcional de Domnio de acordo com
sua necessidade e clique em Next.
7- Additional Domain Controller Options (Figura 3.10) Possibilita incluir certas op-
es adicionais no Domain Controller. Como estamos instalando o primeiro Domain
Controller da floresta o assistente de instalao automaticamente seleciona a opo
Glogal Catalog. O assistente tambm seleciona o servio de DNS Server para que
seja instalado nesse Domain Controller. Seguindo as recomendaes damos conti-
nuidade. Clique em Next.

Figura 3. 10 - Additional Domain Controller Options
Fabio Brussolo

21

8- Se voc recebeu a seguinte mensagem (Figura 3.11) devido ao seu adaptador
de rede estar configurado com IP Dinmico, Todos sabemos que manter 1 servidor
com IP Dinmico no a melhor coisa a se fazer. Configure o IP Fixo se caso ainda
no o tenha feito. clique em No, I will assign static IP addresses to all physical
network adapters.

Figura 3. 11 - Static IP addresses
Detalhe: Se voc no utiliza o IPv6 deixe-o desmarcado e configure apenas o
IPv4 de acordo com sua faixa de IPs. (Figura 3.12) Aps a configurao volte ao
assistente de instalao do Active Directory e clique em Next.

Figura 3. 12 - faixa de IPs
Fabio Brussolo

22

9- Ser exibido um alerta informando que a delegao para o DNS Server no pode
ser criada. Essa mensagem pode ser ignorada, porque o servio de DNS Server
ainda no est instalado e configurado no Domain Controller. Isso ser efetuado au-
tomaticamente pelo assistente de instalao do Active Directory. Clique no boto
Yes (Figura 3.13)

Figura 3. 13 - assistente de instalao do Active Directory

10-Location for Database, Log Files, and SYSVOL (Figura 3.14) Neste passo vamos
definir onde ser armazenado o database, os arquivos de log e a pasta SYSVOL, se
voc possui apenas uma partio deixe o caminho padro e clique em Next.
Detalhe: Para uma melhor performance e fcil recuperao do Active Directory
recomendvel armazenar o database e os arquivos de logs e volumes separados.

Figura 3. 14 - SYSVOL
Fabio Brussolo

23

11 Directory Services Restore Mode Administrator (Figura 3.15). Defina uma senha
que ser usada no Restore Mode deste DC. Novamente a senha deve ser Com-
plexa.

Figura 3. 15 - Directory Services Restore Mode Administrator
12 - Summary (Figura 2.4) Aqui encontramos um resumo e conferimos as configura-
es definidas antes de iniciar a instalao, Voc tambm tem a opo de exportar
as configuraes para serem utilizadas em uma futura instalao, sendo necessrio
somente clicar no boto Export settings e definir o local a ser salvo. Clique em Next
para iniciar a Instalao e aguarde.

Figura 3. 16 - Sumrio
Fabio Brussolo

24

Figura 3. 17 - Tela final
- Active Directory Users and Computers: Para abrir o Console Active Directory Users
and Computers clicar em Start, Administrative Tools e depois em Active Directory
Users and Computers.

Figura 3. 18 - Tela Active Directory
Certificate Service DCOM Access, Cryptographic Operators, Event Log Rea-
ders, IIS_IUSRS E no container Users foram criados outros 4 novos grupos, os quais
sero utilizados somente quando voc instalar um Domain Controller no modo
RODC (Read-Only Domain Controller). (Figura 3.19)
Allowed RODC Password Replication Group
Fabio Brussolo

25

Denied RODC Password Replication Group
Enterprise Read-only Domain Controllers
Read-only Domain Controllers

3.10.2 - Servi o de DNS do Wi ndows Server 2008 R2
DNS (Domain Name System) um sistema que utilizado em redes TCP / IP
para nomear computadores e servios de rede que organizado em uma hierarquia
de domnios. Quando um usurio digita um nome DNS em um aplicativo, servios de
DNS pode resolver o nome para outras informaes que est associado ao nome,
como um endereo IP.
Windows Server 2008 fornece uma srie de melhorias no servio de servidor
de DNS que melhoram o desempenho do DNS. Inicie o console DNS seguindo a
Figura 3.19.

Figura 3. 19 - Iniciando o DNS
Verificar por segurana se as zonas do DNS foram criadas corretamente.
Aps abrir o Console DNS, verifique se as seguintes Zonas de pesquisas diretas
Fabio Brussolo

26

(Foward Lookup Zones) foram criadas. (Figura 3.20) Clicando em
_msfcs.seu.dominio deve ser exibido algo semelhante imagem.

Figura 3. 20 - Console de DNS
E clicando em seu.dominio algo semelhante.
DNS Reverso
O tipo de resoluo de nomes mais utilizada a direta. Nesse tipo de resolu-
o de nome, o cliente possui o nome DNS e precisa localizar o endereo IP associ-
ado em esse nome. O DNS tambm suporta o inverso, ou seja, dado um endereo
IP, consegue localizar o nome DNS. As zonas reversas so responsveis por esse
tipo de resoluo de nomes.
Inicialmente, o servidor DNS foi projetado para dar suporte somente a resolu-
o de nomes direta, e a nica forma de realizar a resoluo de nomes inversa seria
consultando todos os servidores DNS existentes. Com isso, o tempo da resoluo
seria extremamente longo.
Fabio Brussolo

27

Para resolver esse problema, foi o criado o domnio especial in-addr.arpa. Es-
se domnio faz parte das definies atuais do DNS e foi a maneira encontrada para
fornecer a resoluo reversa de nomes.
Para criar o espao de nomes reverso, so criados subdomnios do domnio
in-addr.arpa. O nome destes subdomnios formado pela ordem inversa do nmero
IP da rede. Por exemplo, a zona para resoluo reversa da rede 100.20.50.0 seria
50.20.100.in-addr.arpa.
Os nmeros da rede esto de trs pra frente, pois a resoluo feita de trs
pra frente.

Figura 3. 21 - Selecionando o Dominio criado
criar a Zona de pesquisa inversa (Reverse Lookup Zones) Clicando com o boto di-
reito sobre e selecionando New Zone
Fabio Brussolo

28

Figura 3. 22 - Criando DNSReverso
O Assistente para configurao de Nova Zona ser iniciado. Clique em Next

Figura 3. 23 - Tela inicial
- Zone Type Agora vamos escolher o tipo de Zona, neste caso Primary Zone e cli-
camos em Next.
Fabio Brussolo

29

Figura 3. 24 - criando Primary Zone
- Active Directory Zone Replication Scope Neste passo vamos selecionar o tipo de
escopo para replicao das zonas no AD. Deixar da forma que est e clicamos em
Next. Dessa forma ser replicado para todos os servidores DNS dos DCs do mesmo
domnio.

Figura 3. 25 - Escopo para replicao das zonas no AD
- Reverse Lookup Zone Name. Vamos escolher se desejamos criar uma Zona Inver-
sa para IPv4 ou IPv6 . Neste exemplo usaremos o IPv4. Clique em Next.
Fabio Brussolo

30

- Network ID Identificao da Rede. Informe a identificao de sua rede

Figura 3. 26 - Selecionando o endereo da rede
- Dynamic Update As Atualizaes Dinmicas permitem que computadores clientes
registrem e atualizem dinamicamente seus registros de recursos com um servidor
DNS sempre que ocorrerem alteraes. altamente recomendado que voc deixe
marcado Permitir somente atualizaes dinmicas seguras Allow only secure
Dynamic updates.

Figura 3. 27 - Dynamic Update
Fabio Brussolo

31

- Completing The New Zone Wizard Um breve resumo das configuraes apresen-
tado. Clique em Finish para finalizar e verifiquem a nova zona criada.

Figura 3. 28 - Tela final do Wizard
3.11 Exerccios Prti ca
3.11.1 Utilizando a sua mqui na virtual com o Windows Server 2008, desen-
volva:
a) A infra-estrutura comum est baseada na organizao fictcia Contoso. A Contoso
dona do nome DNS contoso.com, o qual foi configurado com o Assistente de Insta-
lao do Active directory. O Assistente de Instalao est na seo anterior. A figura
3.29 ilustra o exemplo de estrutura do Active Directory.
Fabio Brussolo

32

Os aspectos mais inte-
ressantes desta estrutura
so o Domnio (conto-
so.com); as Contas, a
Matriz, a Produo, o
Marketing, os Grupos, os
Recursos, os Desktops,
os Laptops, e as unida-
des organizacionais. Es-
tes aspectos so repre-
sentados atravs das
pastas na Figura 3.29. As
OUs existem para a delegao da administrao e para a aplicao da Poltica de
Grupo no apenas para refletir a organizao de uma empresa.
b) Crie um DNS Reverso.
c) Coloque a Mquina do Windows no Domnio.

Figura 3. 29 - Estrutura do Active directory

Aula 03 - Active Directory Parte 1

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Aula 03 - Active Directory Parte 1

Enviado por

Direitos autorais:

Formatos disponíveis

Laboratrio de Desenvolvimento III

Você também pode gostar