Escolar Documentos
Profissional Documentos
Cultura Documentos
Introdução Ao Active Directory
Introdução Ao Active Directory
Em uma rede Microsoft Windows Server 2003, o servio de diretrio Active Directory
fornece a estrutura e as funes para organizar, gerenciar e controlar recursos de rede. Para
implementar e administrar uma rede Windows Server 2003, voc deve compreender o
propsito e a estrutura do Active Directory.
O Active Directory tambm fornece a capacidade de gerenciar centralmente sua rede
Windows Server 2003. Esta capacidade significa que voc pode armazenar centralmente
informaes sobre a empresa e os administradores podem gerenciar a rede a partir de uma
nica localizao. O Active Directory suporta a delegao de controle administrativo sobre
os seus objetos. Esta delegao permite que os administradores atribuam permisses
administrativas especficas para objetos, como contas de usurio ou computador, para outros
usurios e administradores.
Depois de completar este mdulo, voc ser capaz de:
Descrever a funo do Active Directory.
Descrever a estrutura lgica do Active Directory.
Descrever a estrutura fsica do Active Directory.
Descrever os mtodos para a administrao de uma rede Windows Server 2003.
Directory
Directory Service
Service
Functionality
Functionality
Single
Single point
point of
of administration
administration
Organize
Organize
Manage
Manage
Control
Control
Centralized
Centralized Management
Management
Resources
Resources
Full
Full user
user access
access to
to directory
directory
resources
resources by
by aa single
single logon
logon
Active Directory o servio de diretrio em uma rede Windows Server 2003. Um servio
de diretrio um servio de rede que armazena informaes sobre recursos da rede e torna
os recursos acessveis a usurios e aplicativos. Servios de diretrios fornecem uma forma
consistente de nomear, descrever, localizar, acessar, gerenciar e proteger informaes sobre
estes recursos.
Funcionalidade do Servio de Diretrio
O Active Directory fornece funcionalidade de servio de diretrio, incluindo um meio de
organizar, gerenciar e controlar o acesso centralmente aos recursos de rede. O Active
Directory torna a topologia de rede fsica e os protocolos transparentes de forma que um
usurio em uma rede possa obter acesso a qualquer recurso sem saber onde o recurso est ou
como ele est fisicamente conectado rede. Um exemplo deste tipo de recurso seria uma
impressora.
O Active Directory organizado em sees que permitem o armazenamento de um grande
nmero de objetos. Como resultado, o Active Directory pode expandir conforme uma
organizao cresce, de forma que uma organizao que tenha um nico servidor com
centenas de objetos possa crescer para ter milhares de servidores e milhes de objetos.
Gerenciamento Centralizado
Um servidor executando o Windows Server 2003 armazena a configurao do sistema, os
perfis de usurio e a informao no Active Directory. Combinado com a Diretiva de Grupo,
o Active Directory permite que administradores gerenciem reas de trabalho distribudas,
servios de rede e aplicativos a partir de um local central enquanto utiliza uma interface de
gerenciamento consistente.
O Active Directory tambm fornece o controle de acesso centralizado a recursos de rede
permitindo que usurios efetuem o logon apenas uma vez para obterem acesso a recursos
atravs do Active Directory.
-2-
Objects
Objects
Printers
Attributes
Attributes
Printers
Printers
Users
Users
Printer1
Printer
Printer Name
Name
Printer
Printer Location
Location
Printer2
Printer3
Users
Attributes
Attributes
First
First Name
Name
Last
Last Name
Name
Logon
Logon Name
Name
Attribute
Attribute
Value
Value
Don Hall
Suzan Fine
-3-
Objects
Objects
Class
Class Examples
Examples
Computers
Computers
Users
Users
Attribute
Attribute
Examples
Examples
Attributes
Attributes of
of Users
Users
Might
Contain:
Might Contain:
List
List of
of Attributes
Attributes
accountExpires
accountExpires
department
department
distinguishedName
distinguishedName
directReports
directReports
dNSHostName
dNSHostName
operatingSystem
operatingSystem
repsFrom
repsFrom
repsTo
repsTo
middleName
middleName
accountExpires
accountExpires
department
department
distinguishedName
distinguishedName
middleName
middleName
Printers
Printers
Nomes distintos
Nomes distintos relativos
Nome Distinto
Cada objeto no Active Directory tem um nome distinto. O nome distinto identifica o
domnio onde o objeto est localizado e o caminho completo pelo qual o objeto alcanado.
Um exemplo de um nome distinto tpico :
CN=Suzan Fine,OU=Sales,DC=contoso,DC=msft
Chave
DC
Atributo
Componente do Domnio
OU
Unidade Organizacional
CN
Nome Comum
Descrio
Um componente do nome DNS do domnio, como
com.
Uma unidade organizacional que pode ser utilizada
para conter outros objetos.
Qualquer objeto fora os componentes do domnio
e unidades organizacionais, como objetos usurio
e computador.
Domnios
Unidades organizacionais
rvores e florestas
Catlogo global
Voc deve entender o propsito e a funo dos componentes lgicos da estrutura do Active
Directory de forma que voc possa realizar uma gama de tarefas, incluindo a instalao,
configurao, administrao e resoluo de problemas com o Active Directory.
Domnios
Um Domnio um Limite de Segurana
Um administrador de domnio pode administrar apenas dentro do domnio, a menos que
tenha obtido direitos administrativos explicitamente em outros domnios
Um Domnio uma Unidade de Replicao
Controladores de domnios em um domnio participam na replicao e contm uma cpia
completa das informaes do diretrio para seus domnios
A unidade central da estrutura lgica no Active Directory o domnio. Um domnio uma
coleo de computadores, definidos por um administrador, que compartilham uma banco de
dados de diretrio comum. Um domnio tem um nome exclusivo e fornece acesso a contas
de usurio centralizadas e contas de grupo mantidas pelo administrador do domnio.
Limite de Segurana
Em uma rede Windows Server 2003, o domnio funciona como um limite de segurana. O
propsito de um limite de segurana garantir que um administrador de um domnio tenha
as permisses e direitos necessrios para executar a administrao apenas dentro deste
domnio, a menos que o administrador tenha obtido estes direitos explicitamente em outros
domnios tambm. Cada domnio tem suas prprias diretivas de segurana e
relacionamentos de confiana com outros domnios.
Unidade de Replicao
Domnios tambm so chamados de unidades de replicao. Em um domnio, computadores
chamados controladores de domnio contm uma rplica do Active Directory. Todos os
controladores de domnio em um domnio particular podem receber alteraes s
informaes no Active Directory e replicar estas alteraes a todos os outros controladores
neste domnio.
Unidades Organizacionais
Utilize UOs ou Objetos de Grupo em uma Hierarquia Lgica que Melhor Satisfaa as
Necessidades de Sua Organizao
Delegue Controle Administrativo sobre os Objetos Dentro de uma UO Atribuindo
Permisses Especficas para Usurios e Grupos
-6-
Uma unidade organizacional (OU, organizational unit) um objeto recipiente que voc
utiliza para organizar objetos dentro de um domnio. Uma UO pode conter objetos, como
contas de usurio, grupos, computadores, impressoras e outras UOs.
Hierarquia da UO
Voc pode utilizar UOs para agrupar objetos em uma hierarquia lgica que melhor satisfaa
as necessidades de sua organizao. Por exemplo, voc pode criar uma hierarquia de UO
para representar o seguinte em uma organizao:
Modelo administrativo de rede baseado em responsabilidades administrativas. Por exemplo,
uma organizao poderia ter um administrador que fosse responsvel pelos usurios e outro
que fosse responsvel por todos os computadores. Neste caso, voc criaria uma UO para
usurios e outra UO para computadores.
Estrutura organizacional baseada em limites departamentais ou geogrficos.
A hierarquia da UO dentro de um domnio independente da estrutura da hierarquia da UO
de outros domnios cada domnio pode implementar sua prpria hierarquia de UO.
Controle Administrativo de UOs
Voc pode delegar controle administrativo sobre os objetos dentro de uma UO. Para delegar
controle administrativo de uma UO, voc atribui permisses especificas para a UO e os seus
objetos para um ou mais usurios e grupos.
Para uma UO, voc pode atribuir controle administrativo completo, como controle total
sobre todos os objetos na UO, ou controle administrativo limitado, como a habilidade de
modificar informaes de e-mail em objetos de usurio na UO.
rvores e Florestas
(root)
Two-Way
Two-Way Transitive
Transitive Trust
Trust
contoso.msft
contoso.msft
Forest
Tree
asia.
asia.
contoso.msft
contoso.msft
nwtraders.msft
nwtraders.msft
Two-Way
Two-Way Transitive
Transitive Trusts
Trusts
Tree
asia.
asia.
nwtraders.msft
nwtraders.msft
au.
au.
contoso.msft
contoso.msft
au.
au.
nwtraders.msft
nwtraders.msft
O primeiro domnio do Windows Server 2003 que voc cria chamado domnio raiz da
floresta. Domnios adicionais so adicionados ao domnio raiz para formar a estrutura da
rvore ou a estrutura da floresta, dependendo dos requisitos de nome do domnio.
-7-
rvores
Uma rvore um arranjo hierrquico dos domnios do Windows Server 2003 que
compartilham um espao de nomes (namespace) contguo.
Quando voc adiciona um domnio a uma rvore existente, o novo domnio um domnio
filho de um domnio pai existente. O nome do domnio filho combinado com o nome do
domnio pai para formar seu nome DNS. Cada domnio filho tem uma relao de confiana
transitiva bidirecional com seu domnio pai.
Confianas Transitivas Bidirecionais
Relaes de confiana transitivas bidirecionais so as relaes de confiana padro nos
domnios do Windows Server 2003. Uma confiana transitiva bidirecional uma
combinao de uma confiana transitiva e uma confiana bidirecional.
Uma confiana transitiva significa que a relao de confiana estabelecida para um domnio
automaticamente entendida para todos os outros domnios que confiam neste domnio. Por
exemplo, o domnio au.contoso.msft confia diretamente em contoso.msft. O domnio
asia.contoso.msft tambm confia diretamente em contoso.msft. Por ambas as confianas
serem transitivas, au.contoso.msft confia indiretamente em asia.contoso.msft.
Uma confiana bidirecional significa que existem dois caminhos de segurana em direes
opostas entre dois domnios. Por exemplo, o domnio au.contoso.msft confia em
contoso.msft em uma direo e contoso.msft confia em au.contoso.msft na direo oposta.
A vantagem das confianas transitivas bidirecionais nos domnios do Windows Server 2003
que existe uma confiana completa entre todos os domnios em uma hierarquia de
domnios do Active Directory. rvores vinculadas por relaes de confiana formam uma
floresta.
Florestas
Uma floresta um conjunto de uma ou mais rvores. As rvores em uma floresta no
compartilham um espao de nome contguo. Entretanto, as rvores em uma floresta
compartilham um esquema comum e um catlogo global. Uma rvore nica que no
relacionada a outras rvores constitui uma floresta de uma rvore. Desta forma, cada
domnio raiz da rvore contm uma relao de confiana transitiva com o domnio raiz da
floresta. O nome do domnio raiz da floresta utilizado para se referir a uma determinada
floresta.
Cada rvore em uma floresta tem seu espao de nome exclusivo. Por exemplo, Contoso,
Ltd. cria uma organizao separada chamada Northwind Traders. Contoso, Ltd. decide criar
um novo nome de domnio para Northwind Traders, chamado nwtraders.msft. Embora as
duas organizaes no compartilhem um espao de nome comum, adicionar o novo domnio
do Active Directory como uma nova rvore em uma floresta existente permite que duas
organizaes compartilhem recursos e funes administrativas.
Catlogo Global
O catlogo global um repositrio de informaes que contm um subconjunto de atributos
de todos os objetos no Active Directory. Por padro, os atributos que so armazenados no
catlogo global so aqueles que so mais freqentemente utilizados em consultas, como o
primeiro nome, o ltimo nome e o nome de logon de um usurio. O catlogo global contm
-8-
Domain
Domain
Domain
Domain
Domain
Domain
Global
Global Catalog
Catalog
Queries
Queries
Group
Group membership
membership
when
when user
user logs
logs on
on
Global Catalog Server
Controladores de Domnio
Domain Controllers:
z
Domain
Controller
r1
Use
r2
U se
Replication
Replication
Domain
Domain
r1
Use
r2
U se
Domain
Controller
== AA Writeable
Writeable Copy
Copy of
of the
the Active
Active Directory
Directory Database
Database
Sites
Seattle
New York
Chicago
Los Angeles
IP subnet
Sites:
z
z
Site
IP subnet
Sites:
Otimizam o trfego de replicao
Permitem que os usurios efetuem o logon em um controlador de domnio utilizando uma
conexo confivel de alta velocidade
Um site consiste de uma ou mais sub-redes de Protocolo de Internet (IP, Internet Protocol)
que so conectadas por um vnculo de alta velocidade. Definindo sites, voc pode
configurar a topologia de acesso e replicao para o Active Directory de forma que o
Windows Server 2003 utilize os vnculos mais eficientes e agende a replicao e trfego de
logon.
Voc cria sites por duas razes principais:
Para otimizar o trfego de replicao
Para permitir que os usurios se conectem a um controlador de domnio utilizando uma
conexo confivel de alta velocidade
-11-
Sites mapeiam a estrutura fsica de sua rede, enquanto domnios mapeiam a estrutura lgica
de sua organizao. As estruturas lgicas e fsicas do Active Directory so independentes
entre si, o que causa as seguintes conseqncias:
No necessariamente existe uma correlao entre a estrutura fsica da rede e sua estrutura de
domnio.
O Active Directory permite mltiplos domnios em um nico site e mltiplos sites em um
nico domnio.
No necessariamente existe uma correlao entre espaos de nome de site e domnio.
Observao: Para mais informaes sobre as estruturas lgica e fsica do Active Directory,
consulte Arquitetura do Active Directory (Active Directory Architecture) sob Leitura
Adicional (Additional Reading) no CD Materiais do Aluno (Student Materials).
-12-
Search
OU1
Domain
Domain
OU1
OU1
Computers
Computer1
OU2
OU2
Users
User1
OU2
User1
Computer1 User2
User2 Printer1
Printer1
User1 Computer1
Users
User2
Printers
Printer1
-13-
12
Domain
Domain
Apply
Apply Group
Group
Policy
Policy Once
Once
OU1
OU1
Windows
Windows 2000
2000
Enforces
Enforces Continually
Continually
OU2
OU2
1 2
OU3
OU3
-14-
Domain
OU1
Admin1
OU2
Admin2
OU3
Admin3
Atribua Permisses:
A outros administradores para UOs especficas
Para modificar atributos especficos de um objeto em uma nica UO
Para executar a mesma tarefa em todas as UOs
Personalize as Ferramentas Administrativas para:
Mapear as tarefas administrativas delegadas
Simplificar a interface
O Windows Server 2003 permite que voc delegue privilgios administrativos para certos
objetos a indivduos apropriados dentro de uma organizao. Isto possvel porque a
estrutura do Active Directory permite que voc atribua permisses e conceda direitos de
usurio de muitas formas especficas.
Voc pode delegar os seguintes tipos de controle administrativo:
Atribuir permisses, como Controle Total, para UOs especficas a diferentes
administradores. Desta forma, trs UOs poderiam ter trs administradores diferentes.
Atribuir as permisses para modificar atributos especficos de um objeto em uma nica UO.
Por exemplo, atribuir a permisso para alterar o nome, endereo e nmero do telefone e para
redefinir senhas em um objeto conta de usurio.
Atribuir as permisses para executar a mesma tarefa, como a redefinio de senha em todas
UOs de um domnio.
O Windows Server 2003 tambm proporciona a voc a capacidade de personalizar tarefas
administrativas de forma que as ferramentas correspondam s tarefas administrativas que
voc delega a outros administradores. Voc pode criar ferramentas administrativas
personalizadas para:
Mapear as permisses que foram atribudas a um usurio para uma tarefa administrativa.
Simplificar a interface para usurios com privilgios administrativos limitados.
-15-
Voc tambm pode combinar todas as ferramentas necessrias para cada funo
administrativa em um nico console.
Reviso
-16-