Mdulo 1: Introduo ao Active Directory no Windows Server 2003

Introduo ao Active Directory no Windows Server 2003

Viso Geral

Introduo ao Active Directory

Estrutura Lgica do Active Directory
Estrutura Fsica do Active Directory
Mtodos para a Administrao de uma Rede Windows Server 2003

Em uma rede Microsoft Windows Server 2003, o servio de diretrio Active Directory
fornece a estrutura e as funes para organizar, gerenciar e controlar recursos de rede. Para
implementar e administrar uma rede Windows Server 2003, voc deve compreender o
propsito e a estrutura do Active Directory.
O Active Directory tambm fornece a capacidade de gerenciar centralmente sua rede
Windows Server 2003. Esta capacidade significa que voc pode armazenar centralmente
informaes sobre a empresa e os administradores podem gerenciar a rede a partir de uma
nica localizao. O Active Directory suporta a delegao de controle administrativo sobre
os seus objetos. Esta delegao permite que os administradores atribuam permisses
administrativas especficas para objetos, como contas de usurio ou computador, para outros
usurios e administradores.
Depois de completar este mdulo, voc ser capaz de:
Descrever a funo do Active Directory.
Descrever a estrutura lgica do Active Directory.
Descrever a estrutura fsica do Active Directory.
Descrever os mtodos para a administrao de uma rede Windows Server 2003.

Multimdia: Conceitos do Active Directory no Windows Server 2003

Esta apresentao multimdia descreve conceitos bsicos do Active Directory, como
unidades organizacionais (UOs), rvores, florestas, convenes de nomenclatura DNS e
sites.

Introduo ao Active Directory

O Que Active Directory?
Objetos do Active Directory
Esquema do Active Directory
Protocolo Leve de Acesso a Diretrio (LDAP, Lightweight Directory Access Protocol)
O Active Directory armazena informaes sobre recursos em toda a rede e torna aos
usurios mais fcil localizar, gerenciar e utilizar estes recursos. O Active Directory
constitudo de mltiplos componentes. Voc deve entender os componentes e como utilizlos para administrar o Active Directory.

O Que Active Directory?

-1-

Mdulo 1: Introduo ao Active Directory no Windows Server 2003

Directory
Directory Service
Service
Functionality
Functionality

Single
Single point
point of
of administration
administration

Organize
Organize

Manage
Manage

Control
Control

Centralized
Centralized Management
Management

Resources
Resources

Full
Full user
user access
access to
to directory
directory

resources
resources by
by aa single
single logon
logon

Active Directory o servio de diretrio em uma rede Windows Server 2003. Um servio
de diretrio um servio de rede que armazena informaes sobre recursos da rede e torna
os recursos acessveis a usurios e aplicativos. Servios de diretrios fornecem uma forma
consistente de nomear, descrever, localizar, acessar, gerenciar e proteger informaes sobre
estes recursos.
Funcionalidade do Servio de Diretrio
O Active Directory fornece funcionalidade de servio de diretrio, incluindo um meio de
organizar, gerenciar e controlar o acesso centralmente aos recursos de rede. O Active
Directory torna a topologia de rede fsica e os protocolos transparentes de forma que um
usurio em uma rede possa obter acesso a qualquer recurso sem saber onde o recurso est ou
como ele est fisicamente conectado rede. Um exemplo deste tipo de recurso seria uma
impressora.
O Active Directory organizado em sees que permitem o armazenamento de um grande
nmero de objetos. Como resultado, o Active Directory pode expandir conforme uma
organizao cresce, de forma que uma organizao que tenha um nico servidor com
centenas de objetos possa crescer para ter milhares de servidores e milhes de objetos.
Gerenciamento Centralizado
Um servidor executando o Windows Server 2003 armazena a configurao do sistema, os
perfis de usurio e a informao no Active Directory. Combinado com a Diretiva de Grupo,
o Active Directory permite que administradores gerenciem reas de trabalho distribudas,
servios de rede e aplicativos a partir de um local central enquanto utiliza uma interface de
gerenciamento consistente.
O Active Directory tambm fornece o controle de acesso centralizado a recursos de rede
permitindo que usurios efetuem o logon apenas uma vez para obterem acesso a recursos
atravs do Active Directory.

-2-

Mdulo 1: Introduo ao Active Directory no Windows Server 2003

Objetos do Active Directory

Active
Active Directory
Directory

Objects
Objects

Printers

Attributes
Attributes

Printers
Printers

Users
Users

Printer1

Printer
Printer Name
Name
Printer
Printer Location
Location

Printer2
Printer3
Users

Attributes
Attributes
First
First Name
Name
Last
Last Name
Name
Logon
Logon Name
Name

Attribute
Attribute
Value
Value

Don Hall
Suzan Fine

Objects Represent Network Resources

Attributes Store Information About an Object

O Active Directory armazena informaes sobre os objetos de rede. Os objetos do Active

Directory representam recursos de rede, como usurios, grupos, computadores e
impressoras. Alm disto, todos os servidores, domnios e sites na rede tambm so
representados como objetos. Pelo fato do Active Directory representar todos os recursos de
rede como objetos em um banco de dados distribudo, um nico administrador pode
gerenciar e administrar centralmente estes recursos. Quando voc cria um objeto, as
propriedades, ou atributos deste objeto armazenam as informaes que descrevem o objeto.
Os usurios podem localizar os objetos atravs do Active Directory pesquisando por
atributos especficos. Por exemplo, um usurio pode localizar uma impressora em um local
especfico pesquisando pelo atributo Localizao (Location) da classe de objeto da
impressora.

Esquema do Active Directory

O esquema do Active Directory contm as definies de todos os objetos, como
computadores, usurios e impressoras que esto armazenados no Active Directory. No
Windows Server 2003, existe apenas um esquema para uma floresta inteira, de forma que
todos os objetos criados no Active Directory obedecem s mesmas regras.
Os dois tipos de definies no esquema so classes de objetos e atributos. Classes de objetos
descrevem os objetos de diretrio possveis de serem criados. Cada classe de objeto uma
coleo de atributos. Atributos so definidos separadamente a partir de classes de objetos.
Cada atributo definido apenas uma vez e pode ser utilizado em mltiplas classes de
objetos. Por exemplo, o atributo Descrio utilizado em muitas classes de objetos, mas
definido apenas uma vez no esquema para garantir a consistncia.

-3-

Mdulo 1: Introduo ao Active Directory no Windows Server 2003

Active Directory Schema Is:

Dynamically Available
Dynamically Updateable
Protected by DACLs

Objects
Objects
Class
Class Examples
Examples

Computers
Computers

Users
Users

Attribute
Attribute
Examples
Examples
Attributes
Attributes of
of Users
Users
Might
Contain:
Might Contain:

List
List of
of Attributes
Attributes
accountExpires
accountExpires
department
department
distinguishedName
distinguishedName
directReports
directReports
dNSHostName
dNSHostName
operatingSystem
operatingSystem
repsFrom
repsFrom
repsTo
repsTo
middleName
middleName

accountExpires
accountExpires
department
department
distinguishedName
distinguishedName
middleName
middleName

Printers
Printers

O banco de dados do Active Directory armazena o esquema. Armazenar o esquema em um

banco de dados significa que o esquema:
Est dinamicamente disponvel aos aplicativos de usurio, o que significa que outros
aplicativos de usurio podem ler o esquema para descobrir que objetos e propriedades esto
disponveis para utilizao.
dinamicamente atualizvel, o que permite que um aplicativo estenda o esquema com
novos atributos e classes de objetos e ento utilize estas extenses de esquema
imediatamente.
Pode utilizar listas de controle de acesso discricionrio (DACLs, discretionary access
control lists) para proteger todas as classes de objetos e atributos. A utilizao de DACLs
permite que apenas usurios autorizados faam alteraes no esquema.

Protocolo Leve de Acesso a Diretrio (LDAP, Lightweight Directory

Access Protocol)
O LDAP Fornece uma Forma de Comunicar com o Active Directory Especificando
Caminhos de Nomenclatura Exclusivos para Cada Objeto no Active Directory
Os Caminhos de Nomenclatura do LDAP Incluem
Nomes distintos
CN=Suzan Fine,OU=Vendas,DC=contoso,DC=msft
Nomes distintos relativos
O Protocolo Leve de Acesso a Diretrio (LDAP, Lightweight Directory Access Protocol)
um protocolo de servio de diretrio que utilizado para consultar e atualizar o Active
Directory. A especificao do protocolo LDAP especifica que um objeto do Active
Directory pode ser representado por uma srie de componentes do domnio, UOs nomes
comuns, que criam um caminho de nomenclatura LDAP dentro do Active Directory. Os
caminhos de nomenclatura do LDAP so utilizados para acessar os objetos do Active
Directory e incluir o seguinte:
-4-

Mdulo 1: Introduo ao Active Directory no Windows Server 2003

Nomes distintos
Nomes distintos relativos
Nome Distinto
Cada objeto no Active Directory tem um nome distinto. O nome distinto identifica o
domnio onde o objeto est localizado e o caminho completo pelo qual o objeto alcanado.
Um exemplo de um nome distinto tpico :
CN=Suzan Fine,OU=Sales,DC=contoso,DC=msft
Chave
DC

Atributo
Componente do Domnio

OU

Unidade Organizacional

CN

Nome Comum

Descrio
Um componente do nome DNS do domnio, como
com.
Uma unidade organizacional que pode ser utilizada
para conter outros objetos.
Qualquer objeto fora os componentes do domnio
e unidades organizacionais, como objetos usurio
e computador.

Nome Distinto Relativo

O nome distinto relativo LDAP a poro do nome distinto LDAP que identifica
exclusivamente o objeto em seu recipiente. Sua composio varia dependendo da extenso
do contexto de pesquisa existente estabelecido pelo cliente. O contexto de pesquisa pode
variar do nvel de componente do domnio at o nvel de nome comum. No exemplo
precedente, o nome distinto relativo do objeto de usurio Suzan Fine Suzan Fine.
A tabela a seguir fornece exemplos de nomes distintos, o contexto de pesquisa estabelecido
pelo cliente, e nomes distintos relativos.
Nome distinto
OU=Vendas,DC=contoso,DC=msft
CN=Suzan Fine,OU=Vendas,DC=contoso,
DC=msft
CN=Judy Lew,OU=Transporte,
DC=europe,DC=contoso,DC=msft

Nome distinto relativo

OU=Vendas
CN=Suzan Fine
CN=Judy Lew

Estrutura Lgica do Active Directory

Domnios
Unidades Organizacionais
rvores e Florestas
Catlogo Global
A estrutura lgica do Active Directory flexvel e fornece um mtodo para o
desenvolvimento de uma hierarquia dentro do Active Directory que compreensvel tanto
para usurios como para administradores. Os componentes lgicos da estrutura do Active
Directory incluem:
-5-

Mdulo 1: Introduo ao Active Directory no Windows Server 2003

Domnios
Unidades organizacionais
rvores e florestas
Catlogo global
Voc deve entender o propsito e a funo dos componentes lgicos da estrutura do Active
Directory de forma que voc possa realizar uma gama de tarefas, incluindo a instalao,
configurao, administrao e resoluo de problemas com o Active Directory.

Domnios
Um Domnio um Limite de Segurana
Um administrador de domnio pode administrar apenas dentro do domnio, a menos que
tenha obtido direitos administrativos explicitamente em outros domnios
Um Domnio uma Unidade de Replicao
Controladores de domnios em um domnio participam na replicao e contm uma cpia
completa das informaes do diretrio para seus domnios
A unidade central da estrutura lgica no Active Directory o domnio. Um domnio uma
coleo de computadores, definidos por um administrador, que compartilham uma banco de
dados de diretrio comum. Um domnio tem um nome exclusivo e fornece acesso a contas
de usurio centralizadas e contas de grupo mantidas pelo administrador do domnio.
Limite de Segurana
Em uma rede Windows Server 2003, o domnio funciona como um limite de segurana. O
propsito de um limite de segurana garantir que um administrador de um domnio tenha
as permisses e direitos necessrios para executar a administrao apenas dentro deste
domnio, a menos que o administrador tenha obtido estes direitos explicitamente em outros
domnios tambm. Cada domnio tem suas prprias diretivas de segurana e
relacionamentos de confiana com outros domnios.
Unidade de Replicao
Domnios tambm so chamados de unidades de replicao. Em um domnio, computadores
chamados controladores de domnio contm uma rplica do Active Directory. Todos os
controladores de domnio em um domnio particular podem receber alteraes s
informaes no Active Directory e replicar estas alteraes a todos os outros controladores
neste domnio.

Unidades Organizacionais
Utilize UOs ou Objetos de Grupo em uma Hierarquia Lgica que Melhor Satisfaa as
Necessidades de Sua Organizao
Delegue Controle Administrativo sobre os Objetos Dentro de uma UO Atribuindo
Permisses Especficas para Usurios e Grupos

-6-

Mdulo 1: Introduo ao Active Directory no Windows Server 2003

Uma unidade organizacional (OU, organizational unit) um objeto recipiente que voc
utiliza para organizar objetos dentro de um domnio. Uma UO pode conter objetos, como
contas de usurio, grupos, computadores, impressoras e outras UOs.
Hierarquia da UO
Voc pode utilizar UOs para agrupar objetos em uma hierarquia lgica que melhor satisfaa
as necessidades de sua organizao. Por exemplo, voc pode criar uma hierarquia de UO
para representar o seguinte em uma organizao:
Modelo administrativo de rede baseado em responsabilidades administrativas. Por exemplo,
uma organizao poderia ter um administrador que fosse responsvel pelos usurios e outro
que fosse responsvel por todos os computadores. Neste caso, voc criaria uma UO para
usurios e outra UO para computadores.
Estrutura organizacional baseada em limites departamentais ou geogrficos.
A hierarquia da UO dentro de um domnio independente da estrutura da hierarquia da UO
de outros domnios cada domnio pode implementar sua prpria hierarquia de UO.
Controle Administrativo de UOs
Voc pode delegar controle administrativo sobre os objetos dentro de uma UO. Para delegar
controle administrativo de uma UO, voc atribui permisses especificas para a UO e os seus
objetos para um ou mais usurios e grupos.
Para uma UO, voc pode atribuir controle administrativo completo, como controle total
sobre todos os objetos na UO, ou controle administrativo limitado, como a habilidade de
modificar informaes de e-mail em objetos de usurio na UO.

rvores e Florestas

(root)

Two-Way
Two-Way Transitive
Transitive Trust
Trust

contoso.msft
contoso.msft

Forest
Tree
asia.
asia.
contoso.msft
contoso.msft

nwtraders.msft
nwtraders.msft

Two-Way
Two-Way Transitive
Transitive Trusts
Trusts

Tree
asia.
asia.
nwtraders.msft
nwtraders.msft

au.
au.
contoso.msft
contoso.msft

au.
au.
nwtraders.msft
nwtraders.msft

O primeiro domnio do Windows Server 2003 que voc cria chamado domnio raiz da
floresta. Domnios adicionais so adicionados ao domnio raiz para formar a estrutura da
rvore ou a estrutura da floresta, dependendo dos requisitos de nome do domnio.

-7-

Mdulo 1: Introduo ao Active Directory no Windows Server 2003

rvores
Uma rvore um arranjo hierrquico dos domnios do Windows Server 2003 que
compartilham um espao de nomes (namespace) contguo.
Quando voc adiciona um domnio a uma rvore existente, o novo domnio um domnio
filho de um domnio pai existente. O nome do domnio filho combinado com o nome do
domnio pai para formar seu nome DNS. Cada domnio filho tem uma relao de confiana
transitiva bidirecional com seu domnio pai.
Confianas Transitivas Bidirecionais
Relaes de confiana transitivas bidirecionais so as relaes de confiana padro nos
domnios do Windows Server 2003. Uma confiana transitiva bidirecional uma
combinao de uma confiana transitiva e uma confiana bidirecional.
Uma confiana transitiva significa que a relao de confiana estabelecida para um domnio
automaticamente entendida para todos os outros domnios que confiam neste domnio. Por
exemplo, o domnio au.contoso.msft confia diretamente em contoso.msft. O domnio
asia.contoso.msft tambm confia diretamente em contoso.msft. Por ambas as confianas
serem transitivas, au.contoso.msft confia indiretamente em asia.contoso.msft.
Uma confiana bidirecional significa que existem dois caminhos de segurana em direes
opostas entre dois domnios. Por exemplo, o domnio au.contoso.msft confia em
contoso.msft em uma direo e contoso.msft confia em au.contoso.msft na direo oposta.
A vantagem das confianas transitivas bidirecionais nos domnios do Windows Server 2003
que existe uma confiana completa entre todos os domnios em uma hierarquia de
domnios do Active Directory. rvores vinculadas por relaes de confiana formam uma
floresta.
Florestas
Uma floresta um conjunto de uma ou mais rvores. As rvores em uma floresta no
compartilham um espao de nome contguo. Entretanto, as rvores em uma floresta
compartilham um esquema comum e um catlogo global. Uma rvore nica que no
relacionada a outras rvores constitui uma floresta de uma rvore. Desta forma, cada
domnio raiz da rvore contm uma relao de confiana transitiva com o domnio raiz da
floresta. O nome do domnio raiz da floresta utilizado para se referir a uma determinada
floresta.
Cada rvore em uma floresta tem seu espao de nome exclusivo. Por exemplo, Contoso,
Ltd. cria uma organizao separada chamada Northwind Traders. Contoso, Ltd. decide criar
um novo nome de domnio para Northwind Traders, chamado nwtraders.msft. Embora as
duas organizaes no compartilhem um espao de nome comum, adicionar o novo domnio
do Active Directory como uma nova rvore em uma floresta existente permite que duas
organizaes compartilhem recursos e funes administrativas.

Catlogo Global
O catlogo global um repositrio de informaes que contm um subconjunto de atributos
de todos os objetos no Active Directory. Por padro, os atributos que so armazenados no
catlogo global so aqueles que so mais freqentemente utilizados em consultas, como o
primeiro nome, o ltimo nome e o nome de logon de um usurio. O catlogo global contm
-8-

Mdulo 1: Introduo ao Active Directory no Windows Server 2003

as informaes que so necessrias para determinar a localizao de qualquer objeto no

diretrio.
Subset
Subset of
of the
the
Attributes
Attributes of
of All
All
Objects
Objects

Domain
Domain
Domain

Domain
Domain

Domain

Global
Global Catalog
Catalog
Queries
Queries
Group
Group membership
membership
when
when user
user logs
logs on
on
Global Catalog Server

O catlogo global permite que os usurios executem duas funes importantes:

Encontrar informaes do Active Directory na floresta inteira, independente da localizao
dos dados.
Utilizar informaes de participao em grupos universais para efetuar logon na rede.
Um servidor de catlogo global um controlador de domnio que armazena uma cpia das
consultas e as processa no catlogo global. O primeiro controlador de domnio que voc cria
no Active Directory se torna automaticamente o servidor de catlogo global. Voc pode
configurar servidores de catlogo global adicionais para balancear o trfego de autenticao
de logon e consultas.
O catlogo global torna a estrutura de diretrio dentro de uma floresta transparente aos
usurios que executam uma pesquisa. Por exemplo, se voc pesquisa por todas as
impressoras em uma floresta, um servidor de catlogo global processa a consulta no
catlogo global e ento retorna os resultados. Sem um servidor de catlogo global, esta
consulta exigiria uma pesquisa por cada domnio na floresta.
O catlogo global tambm contm as permisses de acesso para cada objeto e atributo
armazenados no catlogo global. Se voc est pesquisando por um objeto e voc no tem as
permisses apropriadas para visualizar o objeto, voc no o ver na lista de resultados. Isto
garante que os usurios possam encontrar apenas objetos para os quais eles tm acesso
designado.

Estrutura Fsica do Active Directory

Controladores de Domnio
Sites
No Active Directory, a estrutura lgica separada e distinta da estrutura fsica. Voc utiliza
a estrutura lgica para organizar seus recursos de rede e utiliza a estrutura fsica para
-9-

Mdulo 1: Introduo ao Active Directory no Windows Server 2003

configurar e gerenciar seu trfego de rede. Controladores de domnio e sites constituem a

estrutura fsica do Active Directory.
A estrutura fsica do Active Directory define onde e quando o trfego de replicao e logon
ocorre. Compreender os componentes fsicos do Active Directory crtico para a otimizao
do trfego de rede e para o processo de logon. Alm disto, compreender a estrutura fsica
pode ajudar na resoluo de problemas de replicao e logon.

Controladores de Domnio
Domain Controllers:
z

Participate in Active Directory replication

Perform single master operations roles in a domain

Domain
Controller

r1
Use
r2
U se

Replication
Replication

Domain
Domain

r1
Use
r2
U se

Domain
Controller

== AA Writeable
Writeable Copy
Copy of
of the
the Active
Active Directory
Directory Database
Database

Um controlador de domnio um computador executando o Windows Server 2003 Server

que armazena uma rplica do diretrio. Um controlador de domnio tambm gerencia as
alteraes s informaes do diretrio e replica estas alteraes a outros controladores de
domnio no mesmo domnio. Os controladores de domnio armazenam dados do diretrio e
gerenciam processos de logon do usurio, autenticao e buscas no diretrio.
Um domnio pode ter um ou mais controladores de domnio. Uma pequena empresa que
utiliza uma rede local (LAN, local area network) pode precisar de apenas um domnio com
dois controladores de domnio para fornecer disponibilidade e tolerncia a falhas adequadas,
enquanto uma grande organizao com muitas localidades geogrficas precisa de um ou
mais controladores de domnio em cada localizao para fornecer disponibilidade e
tolerncia falhas adequadas.
Replicao do Active Directory
Controladores de domnio em um domnio e em uma floresta replicam automaticamente
qualquer alterao ao banco de dados do Active Directory entre si. A replicao garante que
todas as informaes no Active Directory estejam disponveis para todos os controladores
de domnio e computadores cliente atravs de toda a rede. A estrutura fsica do Active
Directory determina quando e como a replicao ocorre.
O Active Directory utiliza um modelo de replicao mestre mltiplo. Neste modelo, cada
domnio do Windows Server 2003 tem um ou mais controladores de domnio. Cada
controlador de domnio armazena uma cpia gravvel do banco de dados do Active
Directory para seu domnio e gerencia as alteraes e atualizaes sua cpia do diretrio.
Quando um usurio ou administrador executa uma ao que causa uma atualizao ao
diretrio em um controlador de domnio, esta atualizao replicada a todos os
-10-

Mdulo 1: Introduo ao Active Directory no Windows Server 2003

controladores de domnio no domnio. Entretanto, controladores de domnio podem guardar

informaes diferentes por curtos perodos de tempo at que todos eles tenham sincronizado
suas alteraes no Active Directory.
Operaes de Mestre nico
Algumas alteraes ao Active Directory so imprprias de executar utilizando o modelo de
replicao mestre mltiplo pelo potencial de gerar conflitos em operaes essenciais. Por
estas razes, operaes de mestre nico so atribudas apenas a controladores de domnio
especficos. Um mestre de operaes um controlador de domnio ao qual foi atribuda uma
ou mais funes de operaes de mestre nico em um domnio ou floresta do Active
Directory. Os controladores de domnio aos quais so atribudas estas funes executam
operaes, como a adio ou remoo de um domnio de uma floresta, que no so podem
ocorrer simultaneamente em diferentes controladores de domnio na rede.

Sites
Seattle
New York

Chicago
Los Angeles

IP subnet

Sites:
z
z

Site

IP subnet

Optimize replication traffic

Enable users to log on to a domain controller by using
a reliable, high-speed connection

Sites:
Otimizam o trfego de replicao
Permitem que os usurios efetuem o logon em um controlador de domnio utilizando uma
conexo confivel de alta velocidade
Um site consiste de uma ou mais sub-redes de Protocolo de Internet (IP, Internet Protocol)
que so conectadas por um vnculo de alta velocidade. Definindo sites, voc pode
configurar a topologia de acesso e replicao para o Active Directory de forma que o
Windows Server 2003 utilize os vnculos mais eficientes e agende a replicao e trfego de
logon.
Voc cria sites por duas razes principais:
Para otimizar o trfego de replicao
Para permitir que os usurios se conectem a um controlador de domnio utilizando uma
conexo confivel de alta velocidade

-11-

Mdulo 1: Introduo ao Active Directory no Windows Server 2003

Sites mapeiam a estrutura fsica de sua rede, enquanto domnios mapeiam a estrutura lgica
de sua organizao. As estruturas lgicas e fsicas do Active Directory so independentes
entre si, o que causa as seguintes conseqncias:
No necessariamente existe uma correlao entre a estrutura fsica da rede e sua estrutura de
domnio.
O Active Directory permite mltiplos domnios em um nico site e mltiplos sites em um
nico domnio.
No necessariamente existe uma correlao entre espaos de nome de site e domnio.
Observao: Para mais informaes sobre as estruturas lgica e fsica do Active Directory,
consulte Arquitetura do Active Directory (Active Directory Architecture) sob Leitura
Adicional (Additional Reading) no CD Materiais do Aluno (Student Materials).

Mtodos para a Administrao de uma Rede do Windows Server 2003

Utilizando o Active Directory para Gerenciamento Centralizado
Gerenciando o Ambiente do Usurio
Delegando Controle Administrativo
O Windows Server 2003 e o Active Directory fornecem aos administradores os mtodos e
utilitrios para centralizar o gerenciamento da rea de trabalho de todos os computadores em
uma organizao e para descentralizar as tarefas administrativas. Os administradores
executam as seguintes tarefas administrativas:
Centralizar o gerenciamento. O Active Directory permite que os administradores gerenciem
centralmente grande quantidade de usurios, computadores, impressoras e recursos de rede a
partir de uma localizao central. O Active Directory permite que os usurios organizem
centralmente recursos de rede de acordo com os requisitos administrativos.
Gerenciar o ambiente do usurio. A Diretiva de Grupo permite que os administradores
especifiquem configuraes e apliquem configuraes de Diretiva de Grupo de
gerenciamento a UOs no Active Directory. Alm disto, a Diretiva de Grupo permite que
administradores definam uma Diretiva de Grupo para um usurio ou computador apenas
uma vez e ento utilize o Windows Server 2003 para for-la continuamente.
Delegar controle administrativo. O Active Directory permite que um administrador com a
autoridade apropriada delegue um conjunto selecionado de privilgios administrativos para
indivduos ou grupos dentro de uma organizao. Este administrador pode especificar os
privilgios que estes indivduos tm para gerenciar diferentes recipientes e objetos no
Active Directory. O Windows Server 2003 tambm fornece as ferramentas para comparar
responsabilidades administrativas e para delegar responsabilidades administrativas de rede a
outros administradores.

-12-

Mdulo 1: Introduo ao Active Directory no Windows Server 2003

Utilizando o Active Directory para Gerenciamento Centralizado

Domain

Search

OU1

Domain
Domain

OU1
OU1

Computers
Computer1

OU2
OU2

Users
User1
OU2

User1
Computer1 User2
User2 Printer1
Printer1
User1 Computer1

Users
User2
Printers
Printer1

O Active Directory fornece aos administradores a capacidade de gerenciar recursos

centralmente. As vantagens do gerenciamento de recursos centralmente so:
O Active Directory permite que um nico administrador gerencie e administre centralmente
recursos de rede. O Active Directory contm informaes sobre todos os objetos e seus
atributos. Os atributos mantm dados que descrevem o recurso que o objeto do diretrio
identifica.
O Active Directory permite que administradores localizem facilmente informaes sobre
objetos. Pesquisando atributos selecionados, voc pode encontrar qualquer objeto localizado
em qualquer lugar na rvore do Active Directory.
O Active Directory permite que voc agrupe objetos com requisitos administrativos e de
segurana similares em UOs. UOs fornecem mltiplos nveis de autoridade administrativa
tanto para aplicar configuraes de Diretiva de Grupo como para delegar controle
administrativo. Esta delegao de autoridade administrativa simplifica a tarefa de gerenciar
estes objetos e permite que os administradores estruturem o Active Directory para satisfazer
suas necessidades.
O Active Directory utiliza a Diretiva de Grupo para fornecer aos administradores a
habilidade de especificar configuraes de Diretiva de Grupo para um site, domnio ou UO.
O Active Directory refora ento estas configuraes de Diretiva de Grupo para todos os
usurios e computadores dentro do recipiente.

Gerenciando o Ambiente do Usurio

Utilize a Diretiva de Grupo para:
Controlar e bloquear o que os usurios podem fazer
Gerenciar centralmente a instalao, reparos, atualizaes e remoes de software
Configurar dados do usurio para acompanhar os usurios se eles estiverem on-line ou offline

-13-

Mdulo 1: Introduo ao Active Directory no Windows Server 2003

12

Domain
Domain

Apply
Apply Group
Group
Policy
Policy Once
Once

OU1
OU1
Windows
Windows 2000
2000
Enforces
Enforces Continually
Continually

OU2
OU2

1 2

OU3
OU3

A Diretiva de Grupo no Windows Server 2003 possibilita o gerenciamento centralizado

baseado em diretivas. A administrao baseada em diretivas facilita o gerenciamento
mesmo da rede mais complexa, permitindo que voc aplique uma Diretiva de Grupo a um
objeto apenas uma vez e ento conte com o Windows Server 2003 para forar
continuamente a Diretiva de Grupo atravs da rede.
A Diretiva de Grupo utiliza os recipientes do Active Directory (sites, domnios e UOs)
como unidades administrativas. Uma Diretiva de Grupo definida em um recipiente afeta
todos os usurios e computadores que ela contm. O Windows Server 2003 aplica
configuraes de Diretiva de Grupo para usurios e computadores quando o computador
inicia ou o usurio efetua o logon. A Diretiva de Grupo fornece configuraes para controlar
servios do computador, ambientes de rea de trabalho e capacidades dos usurios. A
Diretiva de Grupo permite que voc controle dados, configuraes de computador pessoal,
ambiente de computao e software dos usurios.
As configuraes de Diretiva de Grupo que so associadas ao usurio permitem que os
administradores forneam acesso consistente a todas as informaes e softwares dos
usurios, independente de qual computador eles esto trabalhando.
Voc pode utilizar a Diretiva de Grupo para gerenciar o ambiente do usurio:
Controlando o que usurios podem fazer depois de terem efetuado o logon na rede e
bloqueando caractersticas que eles no podem acessar. Este controle garante que os
usurios possam obter acesso s ferramentas e informaes que eles precisam, mas no
possam obter acesso a nada que no seja necessrio aos seus trabalhos. Limitar o escopo do
que um usurio pode fazer garante que nenhum tempo desnecessrio ser gasto na resoluo
de problemas de sistema operacional e configuraes de aplicativos.
Gerenciando centralmente a instalao de aplicativos, pacotes de servios e atualizaes de
sistema operacional, e os reparos, atualizaes e remoo de software. Se voc utiliza a
Diretiva de Grupo para instalar software, voc pode garantir que os mesmos aplicativos
estejam disponveis para qualquer computador no qual um usurio efetua logon. Voc
tambm pode garantir que arquivos e configuraes ausentes sejam reparados
automaticamente toda vez que um aplicativo iniciado.
Configurando os dados do usurio para acompanhar os usurios se eles estiverem on-line,
conectados rede, ou temporariamente off-line. Acompanhar significa que mesmo que os
dados do usurio estejam armazenados em localizaes de rede especficas, eles sempre
aparecero como locais ao usurio. Arquivos off-line gravam em cache dados da rede para
os computadores locais, logo estes esto disponveis quando o usurio se desconecta da
rede.

-14-

Mdulo 1: Introduo ao Active Directory no Windows Server 2003

Delegando Controle Administrativo

Domain
OU1

Admin1

OU2
Admin2
OU3

Admin3

Atribua Permisses:
A outros administradores para UOs especficas
Para modificar atributos especficos de um objeto em uma nica UO
Para executar a mesma tarefa em todas as UOs
Personalize as Ferramentas Administrativas para:
Mapear as tarefas administrativas delegadas
Simplificar a interface
O Windows Server 2003 permite que voc delegue privilgios administrativos para certos
objetos a indivduos apropriados dentro de uma organizao. Isto possvel porque a
estrutura do Active Directory permite que voc atribua permisses e conceda direitos de
usurio de muitas formas especficas.
Voc pode delegar os seguintes tipos de controle administrativo:
Atribuir permisses, como Controle Total, para UOs especficas a diferentes
administradores. Desta forma, trs UOs poderiam ter trs administradores diferentes.
Atribuir as permisses para modificar atributos especficos de um objeto em uma nica UO.
Por exemplo, atribuir a permisso para alterar o nome, endereo e nmero do telefone e para
redefinir senhas em um objeto conta de usurio.
Atribuir as permisses para executar a mesma tarefa, como a redefinio de senha em todas
UOs de um domnio.
O Windows Server 2003 tambm proporciona a voc a capacidade de personalizar tarefas
administrativas de forma que as ferramentas correspondam s tarefas administrativas que
voc delega a outros administradores. Voc pode criar ferramentas administrativas
personalizadas para:
Mapear as permisses que foram atribudas a um usurio para uma tarefa administrativa.
Simplificar a interface para usurios com privilgios administrativos limitados.

-15-

Mdulo 1: Introduo ao Active Directory no Windows Server 2003

Voc tambm pode combinar todas as ferramentas necessrias para cada funo
administrativa em um nico console.

Reviso

Introduo ao Active Directory

Estrutura Lgica do Active Directory
Estrutura Fsica do Active Directory
Mtodos para a Administrao de uma Rede Windows Server 2003

Qual o propsito do Active Directory no Windows Server 2003?

O que so sites e domnios e como eles se diferem entre si?
O que so rvores e florestas e como elas se diferem entre si? O que elas tm em comum?

-16-