Windows 2000 Server

Sistema operacional para servidor

Consideraes sobre o design e a implantao do Active Directory

Documento tcnico
Resumo O Windows 2000 Server oferece diversos recursos e tecnologias que devem ser seriamente analisados ao se projetar e implantar o Windows 2000 como infra-estrutura e elemento funcional de uma organizao. Este documento analisa o design do espao de nome de DNS, o design do espao de nome do Active Directory, o planejamento da segurana e as consideraes das Diretivas de grupo.

 1999 Microsoft Corporation. Todos os direitos reservados. As informaes contidas neste documento representam a viso atual da Microsoft Corporation com relao s questes discutidas at a data da publicao. Como a Microsoft deve responder a condies mutveis de mercado, este documento no deve ser interpretado como um compromisso da parte da Microsoft e a Microsoft no pode garantir a exatido das informaes apresentadas aps a data da publicao. Este documento tcnico tem propsitos unicamente informativos. A MICROSOFT NO D GARANTIAS EXPRESSAS OU IMPLCITAS NESTE DOCUMENTO. Microsoft, BackOffice, a logomarca BackOffice, MS-DOS, Outlook, Windows e Windows NT so marcas registradas ou comerciais da Microsoft Corporation nos Estados Unidos e/ou em outros pases. Os nomes de outros produtos ou de empresas mencionados neste documento so marcas comerciais de seus respectivos proprietrios. Microsoft Corporation One Microsoft Way Redmond, WA 98052-6399 EUA 1098

Reviso tcnica por Francisco Baddini Seminar Group Microsoft Brasil

PREFCIO .................................................................................................................................................................4 COMPONENTES DO ACTIVE DIRECTORY ...................................................................................................................5 Domnios .............................................................................................................................................................5 Unidades organizacionais ...................................................................................................................................6 Domnio em oposio UO.................................................................................................................................8 Consideraes sobre o design da UO..................................................................................................................9 RVORES E FLORESTAS ..........................................................................................................................................10 rvores ..............................................................................................................................................................10 Florestas............................................................................................................................................................12 Reviso ..............................................................................................................................................................14 ESPAO DE NOME E HIERARQUIA DE UO.................................................................................................................14 Design do espao de nome de DNS....................................................................................................................14 Vantagens e desvantagens dos dois modelos .....................................................................................................17 Requisitos de DNS .............................................................................................................................................18 Recomendaes de DNS ....................................................................................................................................18 Zonas e domnios de DNS adicionais.................................................................................................................19 Reviso ..............................................................................................................................................................20 INTRODUO AOS DIVERSOS MTODOS DE DESIGN E SUAS IMPLICAES ................................................................20 Domnio raiz......................................................................................................................................................21 Geogrfico.........................................................................................................................................................21 Poltico ..............................................................................................................................................................26 Geo-poltico.......................................................................................................................................................29 Poltico-geogrfico ............................................................................................................................................31 Funcional...........................................................................................................................................................34 A SITUAO SE COMPLICA: CONSIDERAES PARA SITES .......................................................................................35 Local do controlador de domnio.......................................................................................................................36 Determinando onde colocar os controladores de domnio e catlogos globais .................................................36 Fronteiras dos sites............................................................................................................................................37 Replicao de site..............................................................................................................................................37 Links de site .......................................................................................................................................................41 Pontes de link de site..........................................................................................................................................43 Criao da topologia.........................................................................................................................................45 Localizando os servios .....................................................................................................................................46 Campos de ao do site .....................................................................................................................................47 Reviso ..............................................................................................................................................................49 SEGURANA ...........................................................................................................................................................49 Funes do servidor...........................................................................................................................................50 Diretivas de segurana do Active Directory ......................................................................................................52 Direitos e permisses.........................................................................................................................................52 Herana.............................................................................................................................................................53 Controle de acesso.............................................................................................................................................53 Administrao delegada ....................................................................................................................................55 Infra-estrutura da chave pblica........................................................................................................................58 Propriedades de segurana ...............................................................................................................................59 Componentes de segurana da chave pblica....................................................................................................60 Criptografia e chaves pblicas ..........................................................................................................................61 Certificados........................................................................................................................................................62 Servios de certificado.......................................................................................................................................62 IPSec..................................................................................................................................................................65 Kerberos............................................................................................................................................................70 Planejamento de Kerberos.................................................................................................................................76 Reviso ..............................................................................................................................................................76 GRUPOS ..................................................................................................................................................................76 Estruturas de segurana ....................................................................................................................................77 Utilizao de grupos..........................................................................................................................................77 Reviso ..............................................................................................................................................................82

Prefcio
H diversas formas de se analisar o design e a implantao do Windows 2000 e do Active Directory. Nesta minuta, vamos tentar instigar a imaginao do engenheiro de sistemas e de outros que precisam analisar o campo de ao e o planejamento do design e da implantao. Como tal, este documento no vai abordar situaes que envolvam o uso do Windows 2000 e do Active Directory. Em vez disso, este documento vai tentar apresentar informaes essenciais a serem usadas ao se considerar o design e implantao do Windows 2000. O documento est organizado por tpicos, e o fluxo lgico usado ao se elaborar as sees de tpicos : Active Directory e componentes relacionados: Uma anlise das florestas, domnios e unidades organizacionais. Analisaremos a finalidade, definio e uso desses elementos. Design do espao de nome de DNS: Uma anlise do design do espao de nome de DNS nico e de espaos para nome de DNS separados. As vantagens e desvantagens de cada design e algumas recomendaes bsicas sobre como cada um deles pode ajudar a organizao. Design do espao de nome do Active Directory: Uma anlise de cinco modelos diferentes de designs de espao de nome, as caractersticas de cada um e como cada um se encaixa na estrutura de uma organizao. Sites: Uma anlise de como os sites funcionam, sua finalidade e como afetam o design do espao de nome e a estrutura dos domnios do Windows 2000. Segurana: Um exame dos fundamentos da segurana e de como ela afeta o design do ambiente do Windows 2000. Grupos: Uma anlise sobre a introduo de novos tipos de grupos, o planejamento de como esses grupos so usados e por que se deve analisar com tanto cuidado o seu uso.

Neste documento: Utilizao de figuras

As figuras usadas freqentemente neste documento representam domnios do Windows 2000 e unidades organizacionais (UOs). Os smbolos preferidos usados para ilustrar esses componentes so geralmente um tringulo para um domnio e um crculo para uma UO.

Domnio

UO
n

Figura 1

Essas representaes so usadas quando a anlise concentra-se exclusivamente em rvores e florestas. Infelizmente, no possvel empregar esses smbolos em designs de rvores complexas. Portanto, na maioria das figuras que representam estruturas de rvores, retngulos arredondados so usados para representar domnios e tringulos so usados para representar UOs.

Documento tcnico
PGINA 4

Plataforma Windows

Supermercado.com

Domnio

UO
UO=
n

Figura 2

O uso destes smbolos deve ser evidente quando exibidos no contexto das anlises.

Componentes do Active Directory

H diversos componentes do Active Directory que devem ser bem compreendidos para que possam ser usados corretamente. Os domnios e unidades organizacionais so os elementos bsicos do Active Directory e vo definir tanto a estrutura como a funcionalidade. A maneira em que os domnios so organizados em rvores e florestas tambm vai determinar o tom das diretivas administrativas e da interoperabilidade entre as diversas reas de uma organizao. Esta seo apresenta esses componentes do ponto de vista da sua arquitetura. As suas finalidades e utilizao sero analisados posteriormente neste documento.

Domnios
Os domnios representam uma partio lgica do Active Directory que serve tanto para a segurana quanto para a replicao de diretrios. Os domnios esto diretamente relacionados ao espao de nome de DNS e so, de fato, endereados atravs do DNS. Todos os objetos da rede existem dentro de um domnio, e cada domnio contm um conjunto completo dos seus objetos dentro do Naming Context (NC, contexto de denominao) do domnio. Teoricamente, um diretrio de domnio pode conter at dez milhes de objetos. Os domnios fornecem um limite para a segurana e um campo de ao para a replicao do NC do domnio. Nenhuma das diretivas e configuraes de segurana, como direitos administrativos, diretivas de segurana e Access Control Lists (ACLs, listas de controle de acesso), passa de um domnio para outro. O administrador do domnio tem direitos absolutos para definir diretivas somente dentro desse domnio. O uso especfico dos domnios deriva-se da sua funo. Geralmente, os domnios so criados para fornecer um campo de ao para autoridade administrativa ou para reter as informaes replicadas como parte do NC do domnio. Para exemplificar essa ltima situao, geralmente os domnios so confinados a limites geogrficos para garantir a otimizao da rede. Sempre que possvel, deve-se evitar a criao de domnios para refletir grupos de divises. s vezes, pode ser necessrio estabelecer domnios por motivos polticos, mas isso far

Documento tcnico
PGINA 5

Plataforma Windows

parte de uma estratgia maior. Exceto durante a migrao e consolidao, nunca se deve criar domnios para servirem como host de recursos. Estes eram conhecidos como domnios de recursos no Windows NT 4.0 e no so mais necessrios nem desejveis no ambiente do Windows 2000. Ter muitos domnios aumenta de forma significativa os custos administrativos indiretos relacionados ao gerenciamento do Active Directory. Como regra bsica de design, deve-se sempre iniciar com um nmero mnimo de domnios e s acrescentar outros domnios visando atender a critrios especficos.

Unidades organizacionais
As unidades organizacionais (UOs) do Active Directory so um conceito completamente novo para os administradores do Windows NT. Apesar disso, as UOs so uma inovao bem-vinda e garantem uma enorme flexibilidade. Espera-se que as UOs desempenhem um papel importante na consolidao do domnio de recursos durante as migraes do Windows NT 4.0 para o Windows 2000.

Delegao da administrao
As UOs permitem a delegao granular das tarefas administrativas. Isso possibilita o emprego inteligente do controle administrativo em diversos nveis, permitindo que os usurios, computadores e outros objetos sejam reunidos em uma UO e que a administrao dessa UO seja delegada ao administrador adequado.

Campo de ao das diretivas

As Diretivas de grupo podem ser aplicadas em sites, domnios e unidades organizacionais e filtradas com base na associao ao grupo. Desses, as UOs so provavelmente o recipiente mais funcional que pode aceitar diretivas. Embora a partio para objetos das diretivas de grupo seja, na verdade, o domnio, as UOs tambm podem ser consideradas como parties para diretivas. Dependendo da finalidade da UO criada, o emprego das diretivas pode refletir regras comerciais, mandatos polticos tcnicos ou automao de tarefas. Por exemplo, podem ser criadas UOs separadas para funcionrios de horrio integral e funcionrios contratados. Pode-se criar uma diretiva especfica para cada classe de funcionrios e aplic-la a UOs individuais.

Consideraes sobre a UO
As estruturas da UO devem ser benficas e significativas. Como a estrutura de diretrios exposta aos usurios, deve-se evitar UOs arbitrrias. Em outras palavras, no crie uma estrutura s pela estrutura. Lembre-se tambm de que a estrutura da UO de um domnio independente de qualquer outro domnio. Portanto, cada domnio pode implementar a sua prpria hierarquia de UO. Isso uma faca de dois gumes. Se houver vrios domnios ponto a ponto com finalidade semelhante, provvel que esses domnios exijam a mesma estrutura bsica de UO, como

Documento tcnico
PGINA 6

Plataforma Windows

a criada para a empresa Supermercado. Embora no exista nenhuma restrio inerente profundidade das UOs em um domnio, existem algumas diretrizes gerais. Estruturas de UO pouco profundas funcionam melhor do que estruturas profundas. No devem existir mais de dez nveis de UOs. O emprego das diretivas ser prejudicado com estruturas de UO profundas. Ao considerar estruturas de UO, deve-se analisar tambm que o proprietrio de uma UO tem total autoridade sobre ela e pode restringir o emprego da diretiva a partir de um recipiente pai. Ao estabelecer a estrutura bsica da UO, deve-se pensar em quem vai administrar a UO e em quem vai poder exibi-la.

Estruturas das UOs

As UOs do Active Directory atendem a duas finalidades bsicas: 1) Como parties para delegao administrativa. 2) Como recipientes para o emprego de diretivas. A criao de unidades organizacionais por qualquer outro motivo deve ser bem justificado. Isso significa que as unidades organizacionais no devem ser criadas simplesmente para refletir o aninhamento da estrutura da empresa. Por qu? Porque as UOs no so passivas por natureza. Elas so analisadas quanto s diretivas e permisses, sobrecarregando assim o processador. Quanto mais profunda for a estrutura da UO, maior ser a queda de desempenho. Como o Active Directory no permite originalmente a criao de recipientes, tentador usar UOs com essa finalidade e, em alguns casos, esse uso pode realmente ser apropriado. H muitas possibilidades para a criao de UOs que no violam a regra de finalidade: Para refletir a estrutura organizacional, como um departamento. Na maioria dos casos, os departamentos so na verdade o nvel bsico da delegao administrativa. Funo comercial: Conforme descrito no modelo de diretrio Funcional. Freqentemente, a disposio por funo comercial ser executada pelos grupos e, portanto, voc pode justificar as UOs criadas dessa forma. Baseadas em objeto: UOs que representam grupos de objetos semelhantes, como usurios, computadores, impressoras, roteadores, etc. Novamente, dependendo da sua estrutura de diretrio bsica, isso pode no ser apropriado, pois o nvel inferior de delegao e atribuio de diretivas pode ser a UO da diviso. Baseadas em projeto: UOs temporrias para organizar dados relacionados a projetos, pessoal, etc. As UOs fornecem um excelente mecanismo para reunir objetos para administrao e diretivas. Os projetos geralmente tm exigncias especiais que precisam ser atendidas atravs de procedimentos administrativos e diretivas especficas. Baseadas em necessidade administrativa: s vezes, pode ser necessrio basear as UOs na necessidade administrativa. Contudo, essas necessidades devem ser bem

Documento tcnico
PGINA 7

Plataforma Windows

justificadas, pois as UOs so expostas aos usurios.

Domnio em oposio UO
A questo de se usar domnios ou unidades organizacionais nem sempre simples. Vamos tentar apresentar algumas regras e esclarecimentos aqui. Motivos para se criar domnios: Segurana: A exigncia de se manter diretivas de segurana separadas ser geralmente um fator decisivo na criao de domnios. Essa exigncia pode ocorrer quando existirem unidades comerciais autnomas com uma estrutura de TI distribuda. Com menos freqncia, ambientes de alta segurana vo exigir que os envelopes de segurana sejam distintos, como no caso de empresas petrolferas e farmacuticas. Replicao: Outra justificativa comum e geralmente vlida para um ambiente de vrios domnios a possibilidade de se controlar o campo de ao da replicao com base na regio geogrfica. Embora os sites forneam um mecanismo para tornar a replicao eficiente, as condies da rede podem evitar a replicao de dados desnecessrios atravs de links de baixa velocidade da rede. Migrao: Em uma infra-estrutura madura do Windows NT, ser necessrio estabelecer inicialmente um mapeamento de um para um entre os domnios do Windows NT e do Windows 2000. Os detalhes da migrao vo ser analisados em profundidade mais adiante neste documento. Motivos para no se criar domnios: Para refletir a estrutura organizacional: Se possvel, evite criar domnios baseados em divises, departamentos ou grupos. Um bom design deve resistir s reorganizaes da empresa sem precisar da restruturao da hierarquia dos domnios. Para refletir a funo comercial (tambm chamada de diretiva): A reorganizao comercial bastante freqente nas empresas atuais. Os domnios baseados em grupos polticos oferecem pouca vantagem funcional. Quando se deve criar unidades organizacionais: Para controlar a administrao: As UOs agem como parties para delegao administrativa. Um uso freqente das UOs o de fornecer campo de ao para administrao de recursos. Para substituir os domnios de recursos do Windows NT 4.0: Na maioria dos casos, os domnios de recursos do Windows NT 4.0 podem ser substitudos, um por um, pelas UOs. Quando estiver concluda a migrao de um domnio de recursos para o Windows 2000, fcil transform-lo em uma UO. Para criar um campo de ao para diretivas administrativas: As parties de diretivas e de delegao administrativa so geralmente sinnimas, mas devem ser definidas na etapa inicial do processo de planejamento. O mtodo mais fcil de se empregar diretivas atravs de UOs, mas pode ser confuso criar uma UO especificamente para uma diretiva. Por exemplo: UO = Usurios de terminais do Windows no seria uma boa opo para uma UO.

Documento tcnico
PGINA 8

Plataforma Windows

Para refletir a estrutura organizacional: Na medida em que elas oferecem suporte administrao, as UOs devem fornecer alguns detalhes sobre a estrutura organizacional da empresa. Quando no se deve criar unidades organizacionais: Para refletir grupos polticos: Caso seja necessrio refletir grupos polticos, faa-o usando grupos. Uma UO denominada VPs do nordeste e amigos no um uso adequado. Para criar uma estrutura arbitrria: As UOs devem ser usadas como grupos e no devem ser criadas como espaos reservados ou em benefcio da estrutura somente. Por exemplo: Seria questionvel a criao de uma UO denominada Unidades comerciais contendo UOs filho denominadas para cada unidade comercial, exceto se tiverem sido aplicadas diretivas e delegao administrativa UO denominada Unidades comerciais.

Consideraes sobre o design da UO

Ao se projetar hierarquias de diretrio potenciais, deve-se identificar os elementos que so comuns a mais de uma unidade comercial, diviso ou unidade administrativa e estabelecer algumas convenes para a estrutura das UOs a fim de garantir alguma consistncia.
Fbrica

uo=

Fabricao

uo=

Computadores

uo=

Usurios Impressoras

comuns

OUs

uo=

uo=

Produto1

uo=

Distribuio Computadores

uo=

uo=

Usurios

uo=

Impressoras

uo=
n

Recrutamento

Figura 3

Documento tcnico
PGINA 9

Plataforma Windows

 bastante adequado fornecer uma estrutura base para as unidades organizacionais ou desativar completamente a possibilidade de se criar unidades organizacionais. No exemplo acima, tanto a Fabricao como a Distribuio tm exigncias em comum, uma delas um local para administrar e gerenciar os seus usurios, computadores e impressoras. Como tal, uma conveno para UOs comuns foi implementada, fazendo com que trs UOs (Computadores, Usurios, Impressoras) fossem criadas sob cada UO da diviso bsica. Ao se estabelecer alguma estrutura preliminar, so fornecidas aos usurios visualizaes consistentes e obtm-se um nvel de consistncia administrativa. Embora no haja uma limitao inerente ao nmero de UOs aninhadas, estruturas profundas de UOs prejudicam o desempenho. Se mais de dez nveis de UOs forem exigidos, voc deve considerar a implementao de outra estrutura.

rvores e florestas
O Active Directory usa rvores e florestas que fornecem formaes e links lgicos que vo definir como e at que ponto os domnios vo se comunicar. Assim como os domnios e as unidades organizacionais, esses componentes fornecem uma funcionalidade especfica e so criados para atender a exigncias especficas.

rvores
Uma rvore uma reunio hierrquica de domnios organizados em um espao de nome contguo. (Uma rvore tambm pode consistir em um nico domnio do Windows 2000. Contudo, voc pode criar um espao de nome contguo maior, unindo diversos domnios em uma estrutura hierrquica.) Os domnios em uma rvore so unidos de forma transparente atravs de relaes de confiana transitiva Kerberos bidirecional. Uma confiana transitiva Kerberos significa simplesmente que, se o Domnio A confia no Domnio B, e o Domnio B confia no Domnio C, ento o Domnio A confia no Domnio C. Portanto, um domnio que pertence a uma rvore estabelece imediatamente relaes de confiana com cada domnio da rvore. Essas relaes de confiana disponibilizam todos os objetos de todos os domnios da rvore a todos os outros domnios da rvore. Todos os domnios de uma nica rvore tm um espao de nome comum e uma estrutura de denominao hierrquica. Segundo os padres de DNS, o nome de um domnio filho o nome relativo desse domnio filho com o nome do domnio pai anexado. Todos os domnios de uma nica rvore tm um esquema comum, que contm definies formais de todos os tipos de objetos que podem ser armazenados em uma implantao do Active Directory. Alm disso, todos os domnios de uma nica rvore tm um catlogo global comum, que o depsito central das informaes sobre os objetos de uma rvore ou floresta.

Documento tcnico
PGINA 10

Plataforma Windows

somdom.com R V O R E

b.somdom.com

a.somdom.com
n

Figura 4

No h um limite especfico para a profundidade de uma rvore, mas, como os domnios, as rvores tm processamentos relacionados, e estruturas profundas vo prejudicar o desempenho.

Utilizao de rvores
As rvores definem a estrutura mais evidente do Active Directory e dizem respeito utilizao do domnio. Do ponto de vista do design cronolgico, a estrutura da rvore no deve preceder as definies do domnio. Os domnios devem ser definidos de acordo com as regras relacionadas utilizao dos domnios. Os domnios devem ento ser organizados em uma estrutura de rvore de forma lgica. Por exemplo, digamos que a Supermercado tenha definido os seguintes domnios: EUA Canad Brasil Frana Rssia Moscou Leningrado Os domnios foram criados para reduzir o impacto na rede provocado pela replicao de NC do domnio e, no caso de Moscou e Leningrado, surgiram da ausncia de servios de suporte de rede. Esses domnios podem se tornar UOs caso sejam criados servios de rede estveis.

Documento tcnico
PGINA 11

Plataforma Windows

A estrutura de rvore resultante geraria a rvore a seguir.

Supermercado.com

EUA.Supermercado.com

Rssia.Supermercado.com

Canad.Supermercado.com Brasil.Supermercado.com Frana.Supermercado.com Moscou.Rssia.Supermercado.com Leningrado.Rssia.Supermercado.com

n

Figura 5

No caso anteriormente ilustrado, os domnios foram organizados em uma rvore onde os domnios de primeiro nvel baseiam-se no pas e os domnios de segundo nvel baseiam-se na cidade. Contudo, os domnios em si foram criados independentemente da estrutura de rvore resultante.

Florestas
Uma floresta um agrupamento de uma ou mais rvores que vo participar de um sistema de comunicao comum.

Floresta

dom2.com
r v o r e
n

dom1.com
r v o r e

Figura 6

Uma floresta fornece os limites para muitas das funes do Active Directory, como segurana, convenes, confianas e catlogo global. Em uma floresta, h um nico esquema replicado que controlado atravs de um servidor de esquema mestre no domnio raiz.

Documento tcnico
PGINA 12

Plataforma Windows

As relaes de confianas Kerberos nunca so transitivas entre florestas, o que as torna adequadas a disposies de parcerias, onde a confiana real tambm est limitada.

Floresta nica dom1.com

1 domnio da floresta

dom2.com
r v o r e Config/esquema

dom1.com
r v o r e

Floresta dom2.com

Florestas separadas Floresta dom1.com

1 domnio da floresta

1 domnio da floresta r v o r e

dom2.com

dom1.com
r v o r

Figura 7

A distino entre uma floresta nica e florestas separadas refere-se aos objetos de conexo que replicam os NCs de configurao e de esquema, e o catlogo global. Na figura anterior, as mesmas rvores existem nos dois casos, mas implantar dom2.com em uma floresta separada fez com que essa rvore fosse completamente dissociada de dom1.com. Ainda pode existir uma relao de confiana Kerberos entre as duas florestas, mas no ser mais possvel se compartilhar o catlogo global e os NCs de configurao e de esquema. O efeito final de se separar as rvores dessa forma a existncia de dois sistemas de comunicao separados.

Utilizao de florestas
Uma floresta pode surgir da necessidade de se manter esquemas separados, como o caso de uma unidade comercial que mantm um aplicativo no confivel. Florestas distintas tambm vo surgir para estabelecer uma separao entre os recursos internos e os

Documento tcnico
PGINA 13

Plataforma Windows

externos do DNS. Funcionalmente, criar uma nica floresta ou organizar as rvores em florestas separadas uma deciso fcil de ser tomada durante a instalao do Active Directory. No entanto, essa no uma deciso a ser tomada despreocupadamente, pois o impacto grande e duradouro. As florestas no podem ser mescladas nesse momento e atualmente no h suporte para a replicao entre florestas. Os aspectos funcionais desse tipo de estrutura podem no ser o que se esperava originalmente. S se deve usar mais de uma rvore em uma nica floresta em caso de necessidade. Por exemplo, se Supermercado.com for o nome do domnio estratgico e Loja.com for uma estrutura antiga para a qual h suporte ou uma unidade comercial autnoma, ento duas rvores de nvel superior seriam adequadas. Em outros casos, haver a migrao ou incluso das rvores secundrias de uma floresta em uma rvore homognea. rvores adicionais no oferecem nenhum benefcio exclusivo em relao estrutura de rvore nica.

Reviso
Os componentes analisados nesta seo foram domnios, unidades organizacionais (UOs), rvores e florestas. Os domnios so parties do Active Directory que so usadas principalmente para oferecer um campo de ao para autoridade administrativa e limitar o campo de ao da replicao. As UOs so parties administrativas do Active Directory que permitem a delegao granular de tarefas administrativas e so ativas por natureza. As rvores so grupos de domnios que formam um espao de nome contguo, e as florestas so um ou mais conjuntos de rvores que tm o mesmo esquema e catlogo global. importante entender bem os componentes do Active Directory, pois eles so os elementos bsicos do Active Directory. Entender o significado e os usos desses componentes a chave para se criar uma estrutura de diretrios bem projetada.

Espao de nome e hierarquia de UO

Esta seo aborda as tcnicas e a metodologia da criao e ordenao de componentes da Directory Information Tree (DIT, rvore de informaes de diretrio). Diversas decises precisam ser tomadas com relao estrutura real da rvore do Active Directory. Essas decises vo se basear em uma combinao de diversos fatores, como a estrutura organizacional, a estrutura administrativa e a diversidade geogrfica. Esta seo vai proporcionar uma boa compreenso do melhor uso do design de espao de nome.

Design do espao de nome de DNS

Hoje em dia, as redes tm duas funes: atender s necessidades de comunicao interna e atender aos pedidos provenientes da Internet. O DNS, claro, tem um papel essencial na determinao de como esses dois ambientes se relacionam. H duas escolhas para a infraestrutura bsica de DNS que vo afetar o design do espao de nome. Uma das primeiras decises a ser feita com relao ao design do espao de nome a determinao do papel do DNS e de como o DNS ser organizado. Um nico espao de

Documento tcnico
PGINA 14

Plataforma Windows

nome de DNS vai atender aos servios internos e da Internet ou esses espaos para nome devem ser separados?

Modelo 1: Espaos separados para nome de DNS interno e da Internet

O Active Directory introduz a integrao do DNS e do diretrio corporativo. As vantagens desse tipo de integrao so muitas, mas questes complexas devem ser abordadas no princpio do processo de planejamento. Entre essas decises, importante decidir se devese fazer uma distino entre o espao de nome de raiz interna e o de raiz externa. Em infraestruturas maduras de DNS, provavelmente essa escolha ser determinada pelo ambiente antigo de DNS, mas, se for adequado fazer uma modificao no sistema de DNS, essa a hora de se faz-lo. A deciso de se manter espaos separados para nome interno e externo de DNS baseia-se na lgica convencional, mas as implicaes so ampliadas no ambiente do Windows 2000. O espao de nome usado internamente afeta diretamente os usurios finais, pois faz parte do nome de logon. Consulte os exemplos ilustrados na figura a seguir. Ao se usar espaos para nomes separados, Joo Usurio deve aprender a distino entre o seu nome de logon (jusuario@smercado.org) e o seu endereo de correio eletrnico da Internet (jusuario@supermercado.com). Usando um nico espao de nome, Joo Usurio s precisa aprender e usar um nico espao de endereo: @supermercado.com.

Espaos de nome separados da Internet/intranet

Supermercado.com

Smercado. org

DNS Internet Web Internet Correio Internet

n

DNS interno Intranet

Joo Usurio ID de logon: jusuario@smercado.org Correio elet: jusuario@supermercado.com

Figura 8: Domnios separados da Internet e interno

claro que a praticidade para o usurio no a nica nem necessariamente a mais importante considerao a ser feita. A segurana e a administrao tambm so afetadas por essa deciso. Nesse caso, manter uma separao entre os espaos para nome internos e da Internet garante mais segurana e simplifica a administrao. Os espaos para nome separados publicam dispositivos da Internet em um nome de domnio completamente diferente dos dispositivos internos. Nessa configurao, s os servios internos que so especificamente exigidos so publicados na Internet. A configurao desse tipo de disposio bastante fcil, pois o gerenciamento e os dispositivos em si so mantidos separadamente.

Documento tcnico
PGINA 15

Plataforma Windows

H alguns mtodos conhecidos de se fazer essa configurao para no comprometer os registros internos. Como tanto os nomes de domnio de Internet como os da intranet devem ser registrados com o Internic, as entradas SOA das duas zonas devem poder ser acessadas a partir da Internet. Como tal, a primeira etapa ser criar duas zonas primrias no servidor de DNS da Internet: uma para o sistema de domnio da Internet e outra para a intranet.

No servidor de DNS baseado na Internet, uma zona primria criada para Supermercado.com (o domnio da Internet) b) No servidor de DNS baseado na Internet, uma zona primria criada para smercado.org (o domnio da intranet). As medidas de segurana determinam que os servios internos no podem ser publicados na Internet. Para atender a essa exigncia, o sistema de DNS da intranet tambm deve ser host da zona de DNS da intranet, como zona primria. Nesse momento, um sistema de DNS no sabe da existncia do outro sistema de DNS e eles vo responder aos pedidos do nome de domnio da intranet. So necessrios mais dois pontos adicionais de configurao para garantir que a zona da intranet receba todos os pedidos adequados e tambm seja protegida contra exposio na Internet.
1. No sistema de DNS da Internet, atribua o controle da zona da intranet ao servidor de DNS interno, criando um registro do tipo NS que aponte para o servidor interno. 2. No servidor de DNS da intranet, crie uma zona primria para smercado.org. Esse ser o local que vai ser, de fato, o host dos registros dos servios internos. Alm disso, defina o servidor de DNS da Internet como roteador do sistema de DNS da intranet, a fim de que o servidor de DNS da intranet no tente solucionar as consultas externas diretamente na Internet, mas, em vez disso, passe os pedidos atravs dos servidores de DNS da Internet. Um nico espao de nome requer que os servidores proxy, firewalls e clientes sejam configurados para fazer a distino entre recursos internos e externos. Naturalmente, isso garantido ao se manter uma separao dos espaos para nome. mais fcil garantir a segurana com espaos para nome separados, pois, como padro, nenhum nome de recurso interno jamais seria publicado na Internet.

a)

Modelo 2: Espao nico para nome de domnio raiz

A implantao de um nico domnio de DNS vai atender a consultas de nome na Internet e internas. Nesse caso, uma nica zona vai se expandir pelos sistemas de DNS da Internet e da intranet, gerando um nico espao de nome para a organizao. Questes prementes surgem relacionadas ao uso de um nico domnio de DNS, como, por exemplo, como impedir a publicao de registros internos de DNS na Internet?

Documento tcnico
PGINA 16

Plataforma Windows

Espao de nome nico da Internet/intranet

Supermercado.com

DNS Web Correio Internet

Joo Usurio User ID de logon: jusuario@supermercado.com Correio eletr: jusuario@supermercado.com

Figura 9: Espao nico para nome de DNS

Ainda existe a necessidade de se proteger os registros internos e, portanto, deve-se usar um mtodo de separao de recursos. So usados novamente servidores de DNS separados para atender aos servios internos e da Internet. Nesse caso, a zona primria do nome de domnio ser criada no servidor de DNS da Internet e no da intranet. Nesse momento, nenhum dos servidores de DNS tem conhecimento do outro. Isso atende aos critrios de segurana desejados para se separar os prprios registros. O servidor de DNS da intranet nunca deve ser exposto aos pedidos da Internet ou recurso, mas ainda deve poder atender a resolues de nome para as quais no tem autoridade. Para fazer isso, o servidor de DNS da intranet deve ser configurado para usar o servidor de DNS como roteador. Nesse caso, os registros sero gerenciados como se as zonas existissem para dois domnios separados. Os registros da Internet so publicados no sistema da Internet, e os registros internos so publicados no sistema da intranet. Os dois nunca vo se encontrar. A configurao resultante estabelece, de forma eficiente, duas zonas separadas. Embora tenham o mesmo nome de domnio, nenhum dos dois servidores sabe da existncia do outro.

Vantagens e desvantagens dos dois modelos

Modelo 1: Manter uma separao entre o domnio interno e o domnio da Internet tem algumas vantagens caractersticas. Existe uma distino clara entre os recursos da Internet e da intranet do ponto de vista do gerenciamento e do usurio final. A estrutura mais fcil de ser gerenciada porque o espao de nome distinto pode ser mantido separadamente. Tambm mais fcil fazer a configurao do navegador do cliente, pois as listas de exceo no precisam ser mantidas para se fazer a distino entre os recursos da

Documento tcnico
PGINA 17

Plataforma Windows

Internet e da intranet. A configurao do cliente proxy facilitada pelo mesmo motivo. prefervel evitar o uso de um servidor proxy para recursos internos. Para realizar essa configurao, uma lista de excees deve ser fornecida para permitir que o cliente faa a distino entre os dois ambientes.

A desvantagem dessa configurao : O nome de logon do usurio diferente do nome de correio eletrnico. Se os usurios trabalham com um espao de nome homogneo, passar a usar espaos para nomes separados pode ser uma experincia traumatizante. Lembre-se de que, embora nenhum contexto complexo esteja associado aos usurios, eles ainda assim esto expostos ao contexto de DNS (jusuario@somdom.com) que ser diferente do endereo de correio eletrnico da Internet.

Modelo 2: O principal ponto dessa disposio que os usurios tm uma viso da Internet e da intranet. de responsabilidade do administrador fazer uma distino back-end entre as duas redes. A administrao e o gerenciamento so um pouco mais complicados nesse caso, pois, embora os sistemas sejam tecnicamente distintos, deve-se especificar que recursos existem em que zona primria. Isso pode levar a questes de segurana devido postagem de recursos internos inadvertidamente no sistema de DNS da Internet.

Requisitos de DNS
O Microsoft DNS no absolutamente necessrio para o Active Directory, mas para usar um sistema de DNS de outro fabricante, ele deve oferecer suporte a determinados requisitos. O Service Location Resource Record (SRV RR, registro de recursos de local de servio), RFC 2052 O protocolo Dynamic Update, RFC 2136 Se no houver infra-estrutura de DNS, a escolha lgica implementar o Microsoft DNS. Contudo, esse caso raro, momento em que deve-se fazer a determinao da adequao do sistema antigo de DNS. Alm dos requisitos funcionais bsicos de atender ao suporte de atualizao dinmica e de SRV, uma outra considerao deve ser feita: A zona antiga se enquadra na zona de DNS que se deseja usar no Windows 2000?

Recomendaes de DNS
Alm disso, lembre-se de que, mesmo que o sistema antigo atenda aos requisitos, voc ainda precisa considerar que atualizaes dinmicas vo ser replicadas entre as suas

Documento tcnico
PGINA 18

Plataforma Windows

zonas. Essa no uma considerao de pouca importncia. O DNS dinmico pode gerar milhares de entradas existentes em um banco de dados de DNS. At mesmo as transferncias de zona incrementais, o banco de dados de arquivo texto sem formatao mantido por software de DNS convencional est sujeito a danos e assume uma grande parte da carga de replicao. Contudo, o Microsoft DNS permite a integrao do banco de dados diretamente com o Active Directory que resulta em um mecanismo de replicao mais eficiente para registros de DNS. Se o sistema de DNS antigo no atender aos requisitos necessrios para o Active Directory, existem trs escolhas: 1. 2. 3. Atualizar o(s) servidor(es) existente(s) para atender aos requisitos. Fazer a migrao do(s) servidor(es) para o Microsoft DNS. Selecionar um novo nome (nomes de domnio separados) e atribuir a zona interna ao Microsoft DNS.

Considerando-se tudo isso, a implantao do Active Directory uma boa oportunidade de se fazer a migrao para o Microsoft DNS, se possvel. O Microsoft DNS est bastante maduro nesse momento e oferece um excelente suporte a padres e desempenho.

Zonas e domnios de DNS adicionais

At agora, abordamos somente a raiz dos domnios de DNS e do Active Directory. A maioria das situaes vai exigir a existncia de vrios outros domnios e zonas para atender a subdomnios e zonas secundrias.

Subdomnios
Alm do(s) domnio(s) de DNS raiz, cada domnio filho do Windows 2000 vai, na maioria das situaes, ser classificado como um subdomnio e ter um espao de nome de DNS associado. H diversas opes disponveis para a criao de servios de DNS para domnios filho. O procedimento recomendado para a criao de servios de DNS para um domnio filho primeiro criar o subdomnio na raiz interna e atribuir esse subdomnio a um servidor de DNS ativo dentro do domnio filho: Criar um subdomnio de DNS para o filho a partir do domnio raiz (p. ex.: Filho.raiz.com). Criar uma zona de DNS primrio para o filho dentro do seu prprio domnio (p. ex.: Filho.raiz.com). A partir da raiz, atribuir o subdomnio ao servidor de DNS filho. H outras opes disponveis que podem ser usadas em situaes que no so to favorveis. No necessrio, por exemplo, criar o DNS em um domnio filho. O domnio filho pode ser criado como um subdomnio no pai ou a raiz para atender ao filho. Nesse caso, os servios de DNS podem ser criados em filho.raiz.com que seria ento o host de zonas secundrias para o pai ou a raiz.

Documento tcnico
PGINA 19

Plataforma Windows

Zonas secundrias
Provavelmente, vo existir zonas de DNS secundrias na maioria dos casos. Uma zona secundria uma cpia de leitura somente da zona primria usada para distribuir servios de DNS para solucionar dvidas. Contudo, no Windows 2000, uma zona secundria tambm pode ser de gravao se o DNS estiver integrado ao Active Directory. As zonas secundrias que podem ser gravadas fornecem um elemento chave em um ambiente de DNS do Windows 2000 com atualizao dinmica. Como padro, todos os clientes de DHCP do Windows 2000 vo solicitar que o DHCP atualize automaticamente o DNS. Caso haja zonas secundrias que no estejam integradas ao Active Directory, as modificaes de atualizao s podem ser gravadas no servidor de DNS que age como o SOA da zona (primria). O impacto disso pode ser significativo. Dado um grande nmero de clientes ou um ambiente distribudo, os registros de DNS na zona primria e o trfego de rede associado podem ter um impacto profundo tanto no desempenho do servidor como no da rede. Por esse motivo, recomenda-se que todos os controladores de domnio que contm DNS estejam integrados ao Active Directory.

Reviso
Projetar o espao de nome de DNS uma parte integrante do design da estrutura do Active Directory da sua empresa. Nesta seo, analisamos as vantagens e desvantagens de se ter espaos para nome separados em oposio a um nico espao de nome. Em resumo, os espaos para nome separados so mais flexveis, mas requerem um ajuste significativo pelos usurios finais. O design do espao de nome nico mais intuitivo para os usurios, mas tambm mais difcil de ser administrado. Esta seo tambm abordou os requisitos e recomendaes de DNS. Lembre-se de que o seu sistema de DNS deve oferecer suporte a registros SRV RR e atualizaes dinmicas. O Microsoft DNS o sistema escolhido, pois ele atende a esses requisitos e tambm permite a integrao do banco de dados diretamente com o Active Directory, gerando um mecanismo de replicao mais eficiente para os registros de DNS.

Introduo aos diversos mtodos de design e suas implicaes

O rpido crescimento da tecnologia durante a ltima dcada provocou o deslocamento em massa dos sistemas baseados em host para sistemas distribudos. Essa mudana tambm gerou um grande aumento dos custos de TI associados implantao e gerenciamento desses sistemas. Infelizmente, os oramentos de TI tambm tm sido sobrecarregados com reimplantaes de infra-estrutura distribuda aps um ciclo de vida relativamente curto. Um bom design de sistema distribudo deve durar muitos anos e deve passar por inovaes tecnolgicas como resultado de atualizaes ao software de suporte. mais fcil falar do que fazer. Um projeto mal feito pode trazer graves conseqncias posteriormente geradas por reorganizaes corporativas ou estruturas que no pode ser dimensionadas ou que so difceis demais de serem gerenciadas. O Active Directory no exige necessariamente um planejamento antes da implantao, mas retornos

Documento tcnico
PGINA 20

Plataforma Windows

valiosos vo ocorrer como resultado de uma estrutura amplivel para redes distribudas. A primeira etapa do planejamento a definio do mtodo bsico que pode ser usado para definir o design do espao de nome. Existem trs tipos bsicos de designs de espao de nome: Geogrfico, Poltico e Funcional. Alm desses princpios bsicos, combinaes simples podem ser includas para gerar atributos exclusivos ao design do espao de nome. Quase todas as organizaes vo se enquadrar em um desses princpios de design.

Domnio raiz
Independentemente da base da estrutura de diretrio, o componente mais importante o domnio raiz. Embora seja difcil alterar qualquer nvel da estrutura do domnio, modificar o espao de nome raiz bastante desagradvel. Esse tpico foi parcialmente abordado na seo sobre DNS que forneceu os mtodos e motivos para a criao de um domnio de nvel superior. Alm dessas consideraes, existem atributos especficos do domnio raiz. O domnio raiz (nvel superior) o primeiro domnio a ser instalado na floresta. Esse domnio no pode ser renomeado nem removido. O domnio raiz tambm vai fornecer duas funes Flexible Single Master Operations (FSMO, operaes de mestre nico flexvel) principais a toda a floresta. A importncia do domnio raiz sugere que, pelo menos, a sua natureza deve ser permanente. Tendo isso em mente, o nome do domnio raiz deve ter um significado para o nvel superior da organizao, como, por exemplo, o nome da empresa. Esse diretrio est correlacionado ao nome de DNS raiz que ser usado para os servios internos. Em geral, o domnio raiz estar ativo, o que significa que ser usado como qualquer outro domnio e que ser host de UOs, usurios, recursos e outros objetos. Ou ento, o domnio raiz pode ser esttico por natureza e existir simplesmente como um espao reservado na floresta para outros domnios filho. Convm usar domnios de espao reservado quando a organizao j tiver implantado um espao de nome filho a ser usado nas comunicaes internas. Por exemplo, se a empresa Supermercado estivesse usando dentro.Supermercado.com como zona de intranet antes da implantao do Windows 2000, seria adequado criar um domnio raiz para Supermercado.com como espao reservado. Outra situao onde convm usar um domnio raiz como espao reservado quando uma empresa deseja manter uma nica floresta, mas, por questes de segurana, os usurios e os recursos das divises no podem ser misturados no mesmo domnio. Normalmente, essa situao levaria a uma floresta com duas rvores. Contudo, um domnio raiz de espao reservado pode ser usado como uma pai estril das duas rvores de diviso.

Geogrfico
Uma estrutura que definida por locais fsicos conhecida como grupo Geogrfico. Esse um fundamento conhecido do design do espao de nome por ser imune a restruturaes organizacionais. Usar a geografia como base para se estruturar o diretrio funciona muito bem logo abaixo

Documento tcnico
PGINA 21

Plataforma Windows

do nvel da raiz do diretrio, onde as modificaes feitas na estrutura do diretrio exercem o maior impacto operacional. O diagrama a seguir representa a estrutura de diretrio baseada na geografia de uma empresa denominada Supermercado.
Domnio (RAIZ) Domnio (rea GEO) UO (Pas GEO)

Super mercado

Amrica do Sul TI uo=

Brasil UO

uo=

Argentina

(Cidade GEO)

Europa

uo=

Buenos Aires

uo= Reino Unido

uo= Frana

uo=
n

Nice

Figura 10: Geogrfico

A figura 10 ilustra uma hierarquia geogrfica tpica implementada na Supermercado. Os domnios de primeiro nvel baseiam-se em divises continentais, e a estrutura secundria baseia-se no nvel do pas. Um aspecto caracterstico dessa estrutura a sua capacidade de se adaptar a reorganizaes corporativas. Exceto em caso de guerra civil ou deslocamentos de placas tectnicas, as fronteiras no esto sujeitas alterao, o que garante uma estabilidade inerente a esse design. Para se implantar com xito um modelo geogrfico, imprescindvel a existncia de um TI centralizado. Salvo se a prpria estrutura organizacional se basear em um grupo Geogrfico (o que tornaria o modelo poltico), uma nica entidade deve ter autoridade sobre todos os recursos das divises. Na maioria das grandes organizaes, isso raro. Esse modelo oferece suporte a: Organizaes extremamente distribudas. TI centralizado.

As opes de definio dos grupos geogrficos reais para a estrutura de diretrio variam,

Documento tcnico
PGINA 22

Plataforma Windows

mas so, em grande maioria, motivadas pela necessidade de se dividir a replicao com base nas condies da rede. No exemplo anterior, o uso de dois domnios de primeiro nvel oferece um bom mapeamento dos componentes primrios da rede que tambm so obviamente baseados na geografia. Usar domnios dessa forma preserva uma parcela da largura de banda, que provavelmente um link transatlntico de alto custo. Nas grandes organizaes, isso pode representar uma quantidade significativa de trfego de rede. Embora esse assunto possa ser uma questo semntica, no se deve criar domnios nesse modelo para criar parties de segurana. As parties de segurana sempre se baseiam em exigncias polticas e no geogrficas. O fato de que as leis internacionais possam exigir domnios distintos entre fronteiras internacionais , na verdade, uma considerao poltica e no geogrfica. Como ser descrito na seo de variantes, os domnios podem ser mais ou menos profundos, dependendo do tamanho da empresa e das condies da rede.

PRS
A estrutura de rvore imune reorganizao corporativa. A rvore aceita expanses. Outras divises ou grupos geogrficos podem ser facilmente acrescentados. Essa estrutura est bastante adequada distribuio de operaes de suporte e TI. Os limites de segurana permitem unir o campo de ao dessas operaes. Essa estrutura se adapta muito bem s caractersticas positivas e negativas da rede.

CONTRAS
A estrutura organizacional no levada em considerao, o que em geral prejudica o uso da navegao intuitiva. Os limites de divises podem ser transpostos, o que dificulta a desconexo, implantao e gerenciamento. Essa estrutura no permite a mudana para um TI descentralizado baseado em departamentos. As entidades que no fazem parte das divises devem ser gerenciadas de forma centralizada ou participativa.

VARIANTES
H vrias variantes diferentes do modelo geogrfico bsico. Elas podem se basear em unidades geogrficas ou no nmero de nveis do domnio. claro que o nvel da estrutura do domnio pode ser aumentado ou diminudo. Ao se lidar com uma distribuio geogrfica menor, os domnios de primeiro nvel podem ser eliminados e substitudos por unidades organizacionais (UOs). Por exemplo, se as operaes da Supermercado se baseassem somente no Brasil, com locais que fossem bem conectados, acabaramos tendo uma estrutura de diretrio parecida com a que se segue.

Documento tcnico
PGINA 23

Plataforma Windows

Domnio (RAIZ)

Super mercado

UO (rea GEO) UO (Cidade GEO) uo= Sudeste UO (Sub-cidade GEO) uo= So Paulo

TI

uo= So Paulo

uo=

Uberlndia

uo=

Nordeste

uo= Salvador
n

Figura 11: Geogrfico

Na figura 11, eliminamos por completo o domnio de primeiro nvel, porque as duas reas principais (Sudeste e Nordeste), para as nossas finalidades, tm boa conectividade atravs de WAN. Caso a largura de banda fosse um problema, essas reas teriam sido criadas como domnios, o que iria: 1. 2. Isolar a rplica completa do Naming Context (NC) do domnio. Ativar a replicao entre os domnios para usar a compactao, reduzindo ainda mais o uso da rede.

As UOs foram criadas para representar reas geogrficas significativas. Em uma organizao de pequeno porte, tambm eliminaramos as UOs baseadas em reas e especificaramos simplesmente as cidades. Mesmo no exemplo anterior, a estrutura de unidade organizacional baseada em pas na verdade no oferece nenhuma vantagem a no ser a da prpria estrutura. Nas organizaes globais, pode ser necessrio criar mais domnios ou nveis mais profundos de domnios. Nesse caso, vamos supor que a Supermercado tenha muitos escritrios em diversos pases europeus. As conexes por rede entre esses pases baseiam-se em ISDN de discagem por demanda. Todas as conexes de rede da Rssia baseiam-se em ISDN. Somos ento forados a usar a estrutura que se segue.

Documento tcnico
PGINA 24

Plataforma Windows

Domnio (RAIZ)

Super mercado

UO (Pas GEO) UO (Cidade GEO)

TI

Reino Unido

uo=

Londres

uo=

Coulsdon

Frana

Alemanha

Domnio Rssia (Cidade GEO)

Moscou

Leningrado
n

Figura 12: Geogrfico com vrios domnios

O exemplo da figura 12 mostra os seguintes preceitos: 1. Os pases individuais da Europa ocidental tm redes slidas dentro das fronteiras de seus pases, permitindo a comunicao e replicao de diversos mestres, sem que hajam custos adicionais de linha. A comunicao e replicao entre os pases limitada e controlada, reduzindo os custos de comunicao relacionados aos links ISDN de discagem por demanda. O transporte entre os escritrios da Supermercado na Rssia no confivel, o que exige a criao de outro nvel de domnio baseado nas cidades. Quando as condies da rede melhorarem, esses domnios podem ser transformados em UOs. No momento, a existncia de domnios separados permite que a replicao entre os domnios acontea atravs de transporte SMTP baseado em mensagens.

2.

3.

Documento tcnico
PGINA 25

Plataforma Windows

O uso de domnios para dividir a replicao s deve ser usado junto com os recursos fornecidos pelos sites. Resumindo, os sites permitem o amplo controle da forma em que a replicao ocorre, enquanto os domnios determinam o campo de ao real da replicao. Esse tpico ser abordado nas sees que se seguem.

Concluso
Basear a estrutura do Active Directory em grupos geogrficos fornece o tipo mais estvel de design, pois as reorganizaes corporativas no afetam a estrutura do domnio. A criao de domnios deve se basear na necessidade de se minimizar o trfego de replicao atravs do campo de ao e da replicao compactada, bem como a capacidade de se fazer a replicao atravs de SMTP.

Poltico
At recentemente, era bastante comum se basear uma estrutura de TI em fronteiras polticas. A estrutura poltica/organizacional se adapta bem ao prprio modelo comercial, fcil de se projetar e evita questes relacionadas transposio de grupos de divises. O motivo que levou ao desuso desse modelo a tendncia relativamente nova de se fazer freqentes reorganizaes corporativas. A restruturao dos domnios de primeiro nvel em um diretrio um processo bastante difcil e longo. bastante simples se organizar os domnios e UOs segundo o modelo poltico, onde os domnios representam divises administrativas e as UOs representam estruturas e recursos departamentais.

Documento tcnico
PGINA 26

Plataforma Windows

Domnio (RAIZ) Domnio (Poltico) UO (Poltico)

Super mercado

Fabricao TI uo= TI uo=

Engenharia

Compras

Distribuio

uo=

Vendas

uo=
n

Transporte

Figura 13: Estrutura de diretrio poltica

Basear o domnio de primeiro nvel em consideraes polticas, como a estrutura organizacional, gera uma estrutura de diretrio que reflete melhor o modelo comercial. Uma base poltica funciona bem em um ambiente de TI distribudo, onde as funes de TI esto intimamente relacionadas aos grupos de divises. Nesse modelo, h suporte para os seguintes atributos: TI centralizado, descentralizado ou distribudo Rede de boa conexo Grupos de divises fortes

Nesse modelo, os domnios atendem a duas exigncias: So necessrias diretivas de segurana separadas para as divises. necessria uma separao administrativa distinta devido ao TI poltico ou descentralizado.

Os domnios desse modelo nunca so estabelecidos visando criao de um campo de ao para a replicao porque a geografia no a base da estrutura.

PRS
O espao de nome interno est alinhado com a estrutura organizacional da empresa, o que reduz as exigncias e confuso no treinamento do usurio final. O design do espao de nome interno de DNS mais fcil de se planejar e implementar.

Documento tcnico
PGINA 27

Plataforma Windows

 Os grupos de divises so evitados, e as fronteiras no so transpostas. Isso aumenta a probabilidade de xito na conexo e implantao. A rvore permite expanso em diviso ou geografia.

CONTRAS
A estrutura do domnio no usa de forma eficiente a rede na criao de um campo de ao para a replicao. Os dois domnios vo provavelmente existir nos mesmos locais. A reorganizao das unidades comerciais levaria a uma iniciativa predominante de TI.

VARIANTES
Assim como o modelo geogrfico, as variantes desse design dizem respeito principalmente ao nmero e disposio dos domnios. Diferentemente do modelo geogrfico, a criao de domnios ser determinada pelas exigncias de segurana e administrao e no pela necessidade de se controlar a replicao ou melhorar o desempenho da rede. Em um ambiente de TI centralizado, a variante bvia remover todos os domnios de primeiro nvel, exceto um, substituindo-os por UOs.
Domnio (RAIZ) UO (Poltico)

Super mercado

uo= Fabricao TI uo= TI uo=

UO (Poltico)

Engenharia

Compras

uo= Distribuio

uo=

Vendas

uo= Transporte
n

Figura 14: Estrutura de diretrio poltica

possvel substituir os domnios de primeiro nvel por UOs porque h um departamento de TI controlador que pode manter a raiz e a delegar a administrao conforme necessrio aos departamentos de TI da unidade comercial. Tambm possvel implementar essa variante

Documento tcnico
PGINA 28

Plataforma Windows

em um ambiente de TI distribudo desde que os departamentos de TI no sejam autnomos. Essa opo remove a desvantagem relacionada rede e replicao duplicada e fornece um modelo administrativo eficiente. Uma vantagem real de se eliminar os domnios de segundo nvel a manuteno de um nico espao de nome para a organizao. Se a simplicidade de implantao e de administrao for um objetivo, deve-se criar um domnio nico e fazer com que ele reflita a empresa. A justificativa de se criar uma estrutura de domnio profunda nesse modelo rara, mas pode existir em sociedades de controle e outras organizaes distribudas onde existem empresas operacionais autnomas dentro das unidades comerciais. Contudo, os custos administrativos indiretos desse tipo de modelo so altos e devem ser evitados, se possvel.

Geo-poltico
O modelo de diretrio geo-poltico talvez o mais funcional. Como o prprio nome sugere, o modelo geo-poltico mistura aspectos dos modelos geogrfico e poltico nos diversos nveis do diretrio. Os nveis especficos em que cada um vai ser aplicado variam, mas pelo menos o primeiro nvel sempre se baseia na geografia e os nveis subseqentes se baseiam em fatores polticos.
Domnio (RAIZ) Domnio (GEO) OU (POLTICO)

Super mercado

Amrica do Sul TI uo=

Fabricao

uo=

Distribuio

Europa

uo=

Fabricao

uo=
n

Distribuio

Figura 15: Geo-poltico

A estrutura geo-poltica oferece os melhores atributos dos dois modelos analisados anteriormente. A capacidade de adaptao obtida nos nveis mais altos do diretrio ao se

Documento tcnico
PGINA 29

Plataforma Windows

basear a estrutura na geografia, enquanto a estrutura organizacional refletida nos nveis inferiores, garantindo a facilidade de uso e de delegao da administrao. A justificativa desse tipo de estrutura relativamente simples. O maior impacto potencial para uma organizao est no domnio de primeiro nvel. Por exemplo, considerando a estrutura descrita na base poltica, uma mistura forada entre os domnios de primeiro nvel (fabricao e distribuio) afetaria todos os aspectos da infra-estrutura, pois todos os objetos esto contidos nesse dois domnios ou atendem a eles. Contudo, na situao descrita na estrutura geo-poltica, s os domnios de segundo nvel ou UOs podem ser afetados por uma reorganizao. Nesse momento, ento, o impacto limita-se somente aos domnios diretamente modificados e a seus filhos. O objetivo dessa regra no eliminar, mas sim minimizar o risco da exposio a reorganizaes. Existe uma compensao evidente entre a estabilidade da rvore e a considerao de realidades polticas para obter vantagens. Nesse modelo, h suporte para os seguintes atributos: TI centralizado ou distribudo Organizao extremamente distribuda Grupos de divises fortes O modelo do domnio pode se basear nos dois modelos (Geogrfico ou Poltico). Como sempre, melhor reduzir ao mnimo o nmero de domnios. Use domnios para distinguir reas geogrficas quando h necessidade de se minimizar o trfego de replicao atravs de links de WAN ou se for exigida uma separao de segurana entre os pases, etc. Use domnios abaixo do nvel geogrfico para representar a estrutura organizacional somente se a empresa for organizada de forma que os diversos grupos de divises se baseiem em regies geogrficas especficas e se esses domnios precisarem de separao protegida e distinta entre si.

PRS
A estrutura de rvore de diretrio minimiza o impacto das reorganizaes. A rvore permite expanso. Outras divises ou grupos geogrficos ou polticos podem ser facilmente acrescentados. Essa estrutura se adequa bem distribuio das operaes de suporte e de TI. Os limites de segurana permitem unir o campo de ao dessas operaes. Provavelmente, essa estrutura se adapta muito bem s caractersticas positivas e negativas da rede.

CONTRAS
No oferece suporte fcil mudana para um TI descentralizado devido necessidade de gerenciar entidades geogrficas separadas. A administrao departamental pode estar espalhada em diversos domnios,

Documento tcnico
PGINA 30

Plataforma Windows

aumentando os custos administrativos indiretos. Observe que, se a administrao se basear em fatores polticos, as mesmas entidades administrativas podem se expandir pelos dois domnios. Isso pode exigir um pouco de administrao participativa dentro dos domnios geogrficos.

VARIANTES
Na verdade, no h variantes desse modelo alm da profundidade dos domnios em relao s UOs. Mesmo nesse caso, substituir domnios de primeiro nvel por UOs geraria OUs geogrficas que, na maioria dos casos, no trariam nenhuma vantagem, gerando uma estrutura puramente poltica.

Poltico-geogrfico
Tambm possvel aplicar a estrutura geogrfica abaixo da estrutura organizacional em um diretrio. O modelo poltico-geogrfico lida primeiro com a estrutura organizacional e depois aplica a estrutura baseada em consideraes geogrficas. Existem algumas justificativas para se aplicar essa estrutura especfica ao diretrio. Grandes empresas multinacionais vo freqentemente escolher esse modelo porque a capacidade de fornecer uma separao entre as unidades comerciais primrias e dentro dessas unidades comerciais responsvel pela distribuio geogrfica. Geralmente, as grandes empresas mantm unidades comerciais que so por si s grandes empresas. Essas subempresas, por sua vez, so multinacionais e provavelmente vo exigir domnios para criar o campo de ao do NC do domnio.

Documento tcnico
PGINA 31

Plataforma Windows

Domnio (RAIZ) Domnio (Poltico) UO (GEO)

Super mercado

Fabricao TI

Amrica do Sul uo= TI uo= Europa

Distribuio

uo=

Amrica do Sul

uo=
n

Europa

Figura 16: Poltico-geogrfico

Caso seja necessrio delegar administrao ou aplicar diretivas com base em unidades suborganizacionais (UOs geogrficas), essa estrutura seria apropriada. Contudo, se esse no for o caso, o nvel que representa as unidades geogrficas seria arbitrrio e, portanto, desperdiado. As separaes geogrficas dentro desse modelo baseiam-se exatamente nisso. Se essas separaes fossem parte da estrutura organizacional da empresa, seriam na verdade baseadas em consideraes polticas e no geogrficas. Nesse modelo, h suporte para os seguintes atributos: Oferece suporte a todos os ambientes de TI Unidades comerciais distribudas fisicamente Grupos polticos fortes Tpicos da rede que representam, os domnios podem ser justificados por facilitar as exigncias de segurana (entre divises) ou limitar a replicao para acomodar as limitaes da rede fsica. Em geral, o uso desse modelo especfico vai misturar os dois, gerando domnios de vrios nveis. Um nico domnio raiz tambm pode ser usado, garantido por UOs polticas e geogrficas.

PRS
Oferece suporte organizao comercial no primeiro nvel. Oferece suporte distribuio de TI em todos os nveis. Fornece excelente segurana entre unidades comerciais enquanto permite a delegao administrativa ou campo de ao de replicao com base no local fsico.

Documento tcnico
PGINA 32

Plataforma Windows

CONTRAS
A estrutura do domnio no usa de forma eficiente a rede para replicao. provvel que existam vrios domnios nos mesmos locais, o que gera uma sobreposio das informaes replicadas. Uma reorganizao das unidades comerciais geraria uma iniciativa predominante de TI.

VARIANTES
Uma grande variante desse modelo que merece nota o uso de domnios de vrios nveis. Geralmente, as grandes empresas so foradas a usar esse tipo de disposio devido a grupos polticos fortes aliados a um ambiente internacional distribudo.
Domnio (RAIZ) Domnio (Poltico) Domnio (GEO)

Super mercado

Fabricao TI TI

Amrica do Sul

Europa

TI Distribuio

Europa

Amrica do Sul
n

Figura 17: Poltico-geogrfico

No exemplo anterior, diversas precondies so atendidas para a Supermercado o conglomerado internacional. Primeiro, a Supermercado tem unidades comerciais autnomas, que requerem separao de segurana distinta entre si. Segundo, a Supermercado pode exigir segurana distinta entre pases ou replicao otimizada fornecida por domnios separados.

Documento tcnico
PGINA 33

Plataforma Windows

Funcional
O modelo funcional considera, independentemente de todas as outras consideraes, que o objetivo mais importante das comunicaes internas facilitar a participao. Um modelo funcional considera somente as funes comerciais de uma organizao, sem levar em conta as consideraes polticas ou geogrficas. Esse modelo pode funcionar bem em pequenas organizaes, com um TI centralizado. S necessrio um nvel de domnio nesse modelo porque a segurana entre as unidades no uma considerao. O tema do modelo funcional o de comunicaes participativas considerando somente os objetivos comerciais. Isso requer uma regra rgida no nvel executivo snior, pois no h suporte para grupos de divises.
Domnio (RAIZ)

Super mercado

UO (Funcional)

TI

uo=

Vendas

uo=

Marketing

uo=
n

Servios

Figura 18: Funcional

O modelo funcional est completamente imune reorganizao corporativa, pois desconsidera por completo todos os atributos exceto as operaes comerciais funcionais. Portanto, algo menos que um realinhamento completo do negcio essencial pode ser absorvido pela estrutura. Uma empresa de consultoria relativamente pequena seria uma boa candidata a esse tipo de modelo. No pode haver mais de um nvel de domnio dentro do modelo funcional, pois no h base para essa criao. Isso limita o campo de ao desse modelo a pequenas organizaes ou empresas com distribuio geogrfica limitada.

PRS
Fornece uma plataforma para comunicao participativa devido ao agrupamento de funes semelhantes em UOs. intuitivo para os usurios.

Documento tcnico
PGINA 34

Plataforma Windows

CONTRAS
Podem ser necessrias UOs de segundo ou terceiro nvel para o gerenciamento de recursos da rede.

Reviso
Esta seo apresentou diversos designs diferentes de espao de nome baseados em modelos diferentes. Poltico Geogrfico Geo-poltico Poltico-geogrfico Funcional Embora cada design tenha as suas prprias caractersticas positivas e negativas inerentes, deve-se ter em mente que o design do espao de nome do Active Directory pode se basear na estrutura organizacional e em regras comerciais e, como tal, pode ser adaptado a vrios modelos diferentes.

A situao se complica: consideraes para sites

Um site uma ou mais sub-redes IP bem conectadas. Como regra bsica, um site pode ser considerado como reas conectadas usando-se tecnologias de LAN. Os sites s consistem em objetos de servidor e de configurao que so usados para replicao. Infelizmente, no h uma regra geral para determinar o campo de ao correto dos sites, mas, atravs da compreenso de como o Active Directory usa as informaes dos sites, possvel se tomar uma deciso bem fundamentada sobre como implement-los da melhor forma. O Active Directory usa sites das quatro formas que se seguem: Quando um cliente solicita uma conexo com um controlador de domnio (p. ex.: para logon), o site permite que o cliente se conecte a um controlador de domnio dentro do mesmo site, sempre que possvel. Isso reduz a latncia e preserva a largura de banda da rede. Os sites definem a topologia da replicao para os controladores de domnio que fazem parte desses sites. O Knowledge Consistency Checker (KCC, verificador de consistncia do conhecimento) tambm usa as informaes contidas nesse site para adicionar automaticamente outros servidores topologia da replicao. As mensagens de replicao entre controladores de domnio em um site so compactadas e, portanto, usam menos ciclos de CPU nos controladores de domnio. As mensagens de replicao entre controladores de domnio de sites diferentes so compactadas e, portanto, usam menos largura de banda da rede. A replicao entre controladores de domnio de um site acionada pela chegada de atualizaes, reduzindo a latncia da replicao dentro de um site. A replicao entre controladores de domnio de sites diferentes executada com base em um cronograma, preservando a largura de banda. A compactao nesses casos pode chegar a 10 para 1. Os sites no so vinculados de forma alguma ao espao de nome do Active Directory. O nome de um

Documento tcnico
PGINA 35

Plataforma Windows

objeto de diretrio no reflete o site ou sites onde o objeto est armazenado. Um site pode conter controladores de domnio de diversos domnios, e podem existir controladores de domnio de um domnio em diversos sites. (Os sites do Exchange Directory Service so vinculados ao espao de nome.)

Local do controlador de domnio

Quando um usurio efetua logon, a estao de trabalho vai tentar localizar um controlador de domnio no seu site local. Quando no h controladores de domnio disponveis no site, a estao de trabalho vai usar outro controlador de domnio da rede. A proximidade dos controladores de domnio aos clientes da rede ter um impacto evidente durante a autenticao.

Determinando onde colocar os controladores de domnio e catlogos globais

Ao se planejar a colocao de controladores de domnios, leve em considerao ter pelo menos um controlador de domnio por site. A teoria por trs dessa abordagem baseia-se em um modelo de 99% de consulta e 1% de atualizao. Isso significa que 99% do trfego da rede do Active Directory estar relacionado a consultas medida que usurios, administradores e aplicativos solicitam informaes sobre outros objetos na rede e se autenticam. Atualizaes ao diretrio, que geram o trfego de replicao de diretrio, vo ocorrer com bem menos freqncia. Ao se colocar um controlador de domnio em cada site, todos os usurios tero um computador local que pode atender a pedidos de consulta sem exigir um trfego de link de baixa velocidade. Voc pode configurar controladores de domnio em sites menores para receber atualizaes de diretrio somente em horrios fora do expediente a fim de otimizar o fluxo do trfego. Vamos analisar as seguintes diretrizes para a colocao de controladores de domnio na sua empresa: Um controlador de domnio deve poder responder aos pedidos dos clientes de forma oportuna. O melhor desempenho de consulta acontece quando voc coloca um controlador de domnio (em um site pequeno) com um servidor de catlogo global, permitindo que esse servidor atenda a consultas sobre objetos em todos os domnios da sua rede. Os servidores de catlogo global so controladores de domnio que tambm armazenam informaes usadas freqentemente de outros domnios. Essa funo pode parecer trivial, mas todos os usurios que efetuam logon so processados por um servidor de catlogo global para associao no grupo universal. As seguintes diretrizes devem ser analisadas para a colocao de servidores de catlogo global na sua empresa: Um servidor de catlogo global deve poder armazenar todos os objetos de todos os outros domnios da floresta. Um servidor de catlogo global deve poder responder s consultas dos clientes e aos pedidos de autenticao de forma oportuna. A disponibilidade a chave da colocao tanto dos controladores de domnio quando dos servidores de catlogo global. Enquanto um servidor de catlogo global pode estar

Documento tcnico
PGINA 36

Plataforma Windows

localizado em um nvel superior da empresa, atendendo a diversos sites, pelo menos um controlador de domnio deve ser colocado em cada local de site. O nmero de servidores de catlogo global tambm vai afetar a quantidade de informaes replicadas em todo o diretrio.

Fronteiras dos sites

Dois conceitos importantes relacionados a sites so: Um site pode se expandir por mais de um domnio. Como um site simplesmente um grupo de objetos que existem em locais fsicos, a distribuio lgica dos objetos pode incluir os domnios inteiros ou parciais existentes na definio do site. Diversos sites tambm podem se expandir por domnios e at mesmo unidades organizacionais. Isso especialmente interessante ao se considerar como as diretivas de grupo vo afetar os objetos dentro de um determinado domnio. A boa notcia que um site no pode se expandir alm do prprio computador.
Site A se expande por alguns componentes de dom.com

Site A
UO

dom.com

Alguns componentes da UO existem no Site A. Alguns componentes da UO existem no Site B.

Site B
Site B se expande por todo sub.dom.com e alguns componentes de dom.com
n

sub.dom.com

Figura 19

Na figura anterior, o Site A definido de forma a conter somente quase metade dos componentes do domnio dom.com. Contudo, o Site B contm todos os componentes de sub.dom.com, alm de alguns objetos do domnio dom.com. Uma observao interessante que alguns objetos da UO tambm so divididos entre os sites.

Replicao de site
Para entender bem a replicao dentro de um site, deve-se tambm entender as partes do diretrio que so replicadas. Trs itens so replicados em um site: Naming Context (NC, contexto de denominao) do domnio NC de configurao NC de esquema Os contextos de denominao de configurao e de esquema tm a mesma topologia de replicao em um site, enquanto o contexto de denominao de domnio tem uma topologia separada para cada domnio em um site.

Documento tcnico
PGINA 37

Plataforma Windows

Isso pode parecer confuso, mas na verdade bastante simples. Cada servidor que se junta a um site se insere automaticamente nas topologias de replicao de configurao/esquema e de domnio. Ao lidar com servidores do mesmo domnio, as topologias de replicao so idnticas.

A 1

SITE

A 2

A 3

A 4

Legenda Domnio
A 3

Servidor
Objeto de topologia/conexo do domnio A Topologia de esquema/configurao

Figura 20: Replicao de site domnio nico

medida que cada controlador de domnio adicionado ao site, a topologia vai se alterar para acomodar o novo membro do site. Os controladores de domnio separados tambm vo se inserir nas topologias de replicao, s que de duas formas separadas. A insero na topologia de configurao/esquema vai ocorrer de forma normal. O servidor tambm vai se inserir na topologia de contexto de denominao do domnio do site. A figura que se segue ilustra um site com dois domnios: A e B. Observe que, medida que os controladores de domnio so acrescentados topologia do site, duas topologias distintas so formadas: uma para o contexto de denominao de configurao/esquema e outra para o de domnio.

Documento tcnico
PGINA 38

Plataforma Windows

A 1

SITE

A 2 B 2

B 1

B 3 A 3 A 4

Legenda Domnio
A 3

Servidor
Topologia/conexo do domnio A Objeto Topologia/conexo do domnio B Objeto Topologia de Esquema/Configurao

Figura 21: Replicao de site vrios domnios

A topologia de configurao/esquema (comum em uma floresta) replicada em rodzio, independentemente da associao ao domnio, enquanto cada domnio mantm uma topologia distinta. Surge a dvida de como um domnio sabe o contexto de denominao de domnio do outro domnio. Isso feito pelos controladores de domnio que servem como servidores de catlogo global um catlogo global de cada domnio, replicando com um controlador de outro domnio. S um conector de replicao de contexto de denominao de domnio necessrio j que o configurao/esquema replicam globalmente.

Documento tcnico
PGINA 39

Plataforma Windows

SITE A 1 A 2 B 2

B 1

Servidor e conector de catlogo global

B 3 A 3
n

A 4

Figura 22: Replicao de catlogo global

Nesse caso, o domnio B introduziu um catlogo global no site. Alm das suas tarefas de replicao normais, o catlogo global (B1) criou um objeto de conexo com o controlador de domnio A1 do domnio A. O catlogo global vai fornecer uma rplica parcial do NC do Domnio A que ser includa no catlogo global. medida que so criados sites adicionais, eles vo constantemente ajustar a topologia de replicao para acomodar novos controladores de domnio. A replicao entre sites feita usando-se conectores de site, o que analisado na prxima seo. O processo de replicao dentro do site totalmente automtico e sempre usa DS-RPC (Remote Procedure Call) para transmitir alteraes de diretrio. Ainda assim, til ter uma boa compreenso da replicao dentro do site caso seja necessrio fazer ajustes manuais topologia.

Replicao entre sites

Os sites no afetam as informaes que sero replicadas, mas apenas a forma como essas informaes so replicadas. Geralmente, a replicao entre sites realizada usando-se DS-RPC em um conector lgico definido por um link de site. Opcionalmente, a replicao entre sites pode usar mensagens SMTP desde que esses sites no estejam no mesmo domnio. Para que a replicao do Active Directory ocorra, os caminhos de replicao entre os sites precisam estar vinculados manualmente, definindo links de site. Um link de site define uma conexo lgica entre dois ou mais sites. Uma vez definidos, os objetos de conexo so configurados automaticamente. Os links de site pode representar um grupo de conexes semelhantes de rede ou um nico link de WAN. Um link de site pode conter vrios sites.

Documento tcnico
PGINA 40

Plataforma Windows

CUR

MAN 256

RJ

256

256 256 SAL T-1 SP

T-1 POR
Legenda

256 BH

Link de site Site

n

Figura 23: Links de site, sites e rede

No exemplo anterior, os sites SP, BH e RJ esto conectados atravs de uma rede de links de WAN de 256k. Todos foram includos em um nico link de site, o que significa que a comunicao entre esses trs sites feita ponto a ponto. Os demais sites foram todos conectados, seguindo o mapeamento da rede e usando links de site separados para cada conexo.

Links de site
Um objeto link de site representa um conjunto de sites que podem se comunicar a um custo uniforme atravs do transporte entre sites. Para transporte IP, um link de site tpico conecta apenas dois sites e corresponde a um link de WAN real. Um link de site IP conectando mais de dois sites pode corresponder a um backbone ATM conectando mais de dois clusters de prdios em um campus grande ou diversos escritrios em uma grande rea metropolitana conectada atravs de linhas alugadas e roteadores IP. Voc cria um objeto de link de site para um determinado transporte entre sites (geralmente transporte IP) especificando: Um custo para o caminho Dois ou mais sites O agendamento O agendamento determina os perodos durante os quais o link est disponvel. Isso pode ser til para se conectar sites que usam conexes de alto custo, como conexes dial-up. Um site pode ser conectado a outros sites atravs de um nmero qualquer de objetos de links de site. Cada site de um diretrio de vrios sites deve ser conectado por pelo menos um link de site. Caso contrrio, ele no pode replicar com controladores de domnio de nenhum outro site e, portanto, o diretrio est desconectado. Sendo assim, voc deve configurar pelo menos um link de site em um diretrio de vrios sites.

Custo
Os links de site tm custos numricos associados, que afetam o roteamento das

Documento tcnico
PGINA 41

Plataforma Windows

mensagens entre os sites. Os custos so atribudos automaticamente, mas podem ser alterados manualmente para refletir os atributos dos caminhos percorridos da rede. Normalmente, os custos dos links de site sero associados a velocidades de link de WAN. Nmeros de custo mais altos representam caminhos de mensagem mais onerosos. Por exemplo, se voc criar um objeto de link de site SP-RJ-BH que conecta trs sites (So Paulo, Rio de Janeiro e Belo Horizonte) ao custo de 20, voc est dizendo que uma mensagem de replicao pode ser enviada entre todos os pares de sites (SP para RJ, SP para BH, RJ para SP, RJ para BH, BH para SP, BH para RJ) ao custo de 20.
CUR MAN Cu sto 256 =2 Cu sto =2 Custo=0 256 Custo=0 T-1 POR
Legenda

RJ 256

256 SP

SAL

T-1

Cu sto =2

256 BH

Link de site Site

n

Figura 24: Links de site

Os custos dos links de site tm um impacto no roteamento das mensagens entre os sites. Por exemplo, na figura 16 a seguir, uma mensagem enviada do site POR para BH tomaria a rota menos onerosa, nesse caso POR-SAL-SP-BH cujo custo dois, embora o site BH esteja bem prximo.

Documento tcnico
PGINA 42

Plataforma Windows

CUR

MAN Cu sto 256 =2 256 Custo=0

RJ

Cu sto =2

256 SP

256 Custo=0 T-1

SAL

T-1

Cu sto =2

256 Custo=3 BH

POR

Legenda

Site Link de site

n

Figura 25: Roteamento do link de site

Conforme mostrado na figura anterior, os custos dos links de site podem afetar profundamente os caminhos de replicao. Um bom mtodo de se estabelecer custos de site associar um custo a um determinado link ou condio da rede. Por exemplo, T-1 pode ter um custo de 15, enquanto um link de 512k pode ter um custo associado de 25, etc. Estabelecer padres para custos de link de site vai evitar que se adivinhe o design da topologia do site.

Pontes de link de site

Um objeto ponte de link de site representa um conjunto de links de sites, cujos sites podem se comunicar atravs de algum transporte. Geralmente, uma ponte de link de site corresponde a um roteador (ou um conjunto de roteadores) em uma rede IP. As pontes de link de site fornecem transitividade entre os links de site e representam o prprio objeto de conexo. Voc cria uma ponte de link de site para um determinado transporte entre sites especificando: Dois ou mais links de site para o transporte entre sites especificado. Para entender o significado de uma ponte de link de site, veja o exemplo: O link de site XY conecta os sites X e Y atravs de IP a um custo de 3 O link de site YZ conecta os sites Y e Z atravs de IP a um custo de 4 A ponte de link de site XYZ conecta XY e YZ. A ponte de link de site XYZ significa que uma mensagem IP pode ser enviada do site X para o site Z a um custo de 3+4 = 7. s isso que a ponte faz nesse exemplo simples.

Documento tcnico
PGINA 43

Plataforma Windows

Link de site XY 2

Link de site YZ

Ponte de link de site (XYZ)

Legenda

Site Link de site

n

Figura 26: Ponte de link de site

Cada link de site de uma ponte deve ter um site em comum com outro link de site da ponte. Caso contrrio, a ponte no pode calcular o custo dos sites no link L para os sites de outros links da ponte. As pontes de link de site separadas, at para o mesmo transporte, so independentes. Acrescente os seguintes objetos ao exemplo anterior: O link de site WX conecta os sites W e X atravs de IP a um custo de 2 A ponte de link de site WXY conecta WX e XY.

Documento tcnico
PGINA 44

Plataforma Windows

Link de site XY 3

Link de site WX

Link de site YZ

Ponte de link de site (W XY) Ponte de link de site (XYZ)

W
Site

Legenda

Link de site
n

Figura 27: Vrias pontes de link de site

A existncia dessa ponte adicional significa que uma mensagem IP pode ser enviada de W para Y a um custo de 2+3 = 5. Mas no significa que uma mensagem IP pode ser enviada do site W para o site Z a um custo de 2+3+4 = 9. Em quase todos os casos, voc vai usar uma nica ponte de link de site como modelo da rede IP inteira. Qualquer rede que possa ser descrita atravs da combinao de links de site e pontes de link de site, tambm pode ser descrita somente pelos links de site. Ao usar pontes de link de site, a sua descrio da rede torna-se menor e mais fcil de ser mantida, pois voc no precisa de um link de site para descrever cada caminho possvel entre os pares de sites.

Criao da topologia
Dependendo do nvel de controle necessrio, as topologias dos sites podem ser inteiramente configuradas, de forma totalmente automtica ou totalmente manual. Se voc tiver feito um trabalho adequado ao aprear os links dos sites, pode simplesmente criar pontes entre todos os sites a partir das configuraes de NTDS no nvel do site e permitir que o KCC determine a melhor rota para o roteamento das mensagens. Por outro lado, voc pode controlar completamente o processo, desativando a gerao de KCC e criando manualmente todas as pontes de link de site. Nesse caso, contudo, o administrador totalmente responsvel pela criao e manuteno de pontes de link de site, o que, em grandes organizaes, pode ser uma tarefa monumental.

Documento tcnico
PGINA 45

Plataforma Windows

Pode-se usar tambm uma mistura de configuraes automticas e manuais. Esse procedimento permite que um administrador influencie a replicao sem ter que configurar toda a topologia manualmente. Esse mtodo permite que o KCC gere automaticamente todas as pontes de link de site que podem ento ser modificadas manualmente, conforme necessrio.

Localizando os servios
O servidor de catlogo global armazena uma rplica parcial de leitura somente contendo as informaes freqentemente acessadas de cada domnio da floresta. Ele tambm armazena uma rplica de leitura/gravao contendo essas informaes do seu prprio domnio. Ainda mais importante, cada objeto que autenticado no Active Directory deve referenciar o servidor de catlogo global. Isso significa que todos os usurios que efetuarem logon e todos os computadores que forem inicializados devem ser referenciados no catlogo global quanto associao em grupos universais. Isso no significa necessariamente que todos os controladores de domnio devem ser identificados como um catlogo global. Embora seja verdade que o catlogo global desempenha um importante papel no processo de autenticao, tambm verdade que uma quantidade bem menor de trfego e processamento da rede est associado com o catlogo global do que a um controlador de domnio. Isso significa que menos catlogos globais podem atender a mais clientes. Na verdade, o controlador de domnio de autenticao (e no o cliente) que entra em contato com o catlogo global para associao do grupo universal. Como regra, cada site deve ter pelo menos um servidor de catlogo global. Contudo, se diversos sites estiverem bem conectados atravs de links de rede confiveis, os servidores de catlogo global podem atender a mais de um site. Conforme analisado anteriormente, absolutamente possvel misturar as funes e colocao dos servidores para atingir o resultado desejado de fornecer servios confiveis e disponveis especficos a cada site.

Documento tcnico
PGINA 46

Plataforma Windows

SITE A

CG DNS

CG

SITE B

SITE C

DNS/CD

DNS/CG

CG

DNS

Figura 28

Site A: Est configurado com dois servidores de catlogo global e um nico servidor de DNS. O site A permite excelente disponibilidade do catlogo global. Caso o servidor de DNS no esteja disponvel, um servidor de DNS no site B ou no site C pode ser usado. Site B: Mantm dois servidores que fornecem servios de DNS. Um dos controladores de domnio tambm age como um servidor de catlogo global do site. Novamente, os servidores de catlogo global esto disponveis em outros sites, se o catlogo global local no estiver disponvel. Site C: Contm um nico catlogo global e um nico controlador de domnio. Caso um deles no esteja disponvel, os clientes podem usar os servios do site A. Um caso considerado menos favorvel seria o uso de um nico servidor fornecendo servios de catlogo global e de DNS. Caso esse servidor no esteja disponvel, todos os servios precisariam ser fornecidos alm das fronteiras do site. De qualquer forma, essencial que um servidor de DNS e um servidor de catlogo global estejam disponveis aos clientes de um site. Se um servidor de catlogo global no estiver disponvel, o cliente no poder efetuar logon na rede e muitos servios no vo estar disponveis.

Campos de ao do site
Os tamanhos reais dos sites vo variar bastante dependendo de: O tamanho da organizao O nmero de clientes e a sua distribuio fsica A quantidade de dados a serem replicados Em grandes organizaes com centenas de locais, talvez no seja vivel criar um site para

Documento tcnico
PGINA 47

Plataforma Windows

cada segmento da rede ou do campus. Nesses casos, ser necessrio criar para os sites campos de ao com o maior tamanho possvel para reduzir o volume necessrio de administrao e gerenciamento. Os sites desse exemplo podem se expandir por diversos locais fsicos conectados atravs de links de WAN (T-1) confiveis e rpidos. Os sites podem ser usados para aumentar o desempenho de logon dos clientes. Se os logons dos clientes estiverem demorando muito devido ao grande nmero de clientes em um site ou autenticao de clientes atravs de links de baixa velocidade, a soluo pode ser reduzir o tamanho de um site ou acrescentar outro site. Determinar o campo de ao dos sites nem sempre um procedimento simples. Os sites so apenas um grupo definido de sub-redes IP que esto bem conectadas. Contudo, como voc vai definir tanto as prprias sub-redes IP quanto as sub-redes que sero includas em um site, provavelmente as opes sero muitas. Em organizaes de pequeno porte, as definies dos sites devem ser fceis e se basear na conectividade de velocidade da LAN. Em situaes simples, definir a topologia de replicao tambm simples e pode at ser executada pelo KCC. Nas grandes organizaes com diversos locais, definir as fronteiras dos sites ser mais difcil devido s diferentes condies de largura de banda dos links da rede, alm de se tentar minimizar os custos administrativos indiretos associados configurao e gerenciamento das conexes entre sites. Em uma situao onde existem diversos sites, voc tambm vai querer ter uma boa idia da aparncia da topologia de replicao entre sites. A replicao do diretrio ocorre dentro de um site e entre sites. O Active Directory j tem alguns recursos internos que ajudam a reduzir o trfego da replicao: Replicao diferencial: O Active Directory s replica alteraes para um objeto e no o objeto em si. Por exemplo, se um nmero de telefone de um usurio for modificado, somente o nmero de telefone replicado, em vez de todas as informaes do usurio. Replicao agendada: A replicao dentro de um site e entre sites pode ser agendada e configurada. Portanto, a replicao pode ser agendada para os horrios de menor uso da rede. Compactao: A replicao de RPC entre sites vai usar a compactao. (Isso s se aplica entre domnios diferentes.) Campo de ao da replicao: O volume de informaes replicadas entre os domnios menor do que o volume de informaes replicadas dentro de um domnio. Topologias configurveis: A ordem em que os servidores e sites replicam pode ser completamente configurada, assim como os horrios dessa replicao, permitindo que a replicao (entre sites) seja agendada e que a replicao dentro de um site seja gerenciada. Em vrias situaes, as fronteiras dos sites sero baseadas nas fronteiras dos links de rede de 10 megabits ou mais. Isso no significa que as fronteiras dos sites no possam se expandir por links de velocidade mais baixa. O nmero de variveis, como largura de banda, topologia da rede, latncia da rede e trfego de cliente e de replicao, impedem a criao de uma expanso mxima para os sites da rede. Como a prpria topologia do site

Documento tcnico
PGINA 48

Plataforma Windows

replicada e como os sites so, na sua maioria, inter-relacionados, deve-se planejar bem a topologia do site e criar esse plano com base em estimativas de trfego futuro e no atual.

Reviso
Nesta seo, analisamos os sites e a replicao. Especificamente, definimos os sites, links de site e pontes de link de site, e analisamos a replicao entre sites e dentro de um site. Alm de entender essas definies, necessrio entender como o Active Directory usa as informaes do site. Dessa forma, voc pode decidir qual a melhor forma de implementar sites na sua empresa. Um site uma ou mais sub-redes IP bem conectadas. Os links de site fornecem links entre sites e permitem estimar preos e agendar. As pontes de link de site fornecem links transitivos entre os links de site. A replicao o processo pelo qual as informaes do Active Directory so transmitidas atravs da empresa. Definir um site como um conjunto de sub-redes permite que se configure rpida e facilmente a topologia de acesso e de replicao do Active Directory a fim de aproveitar as vantagens da rede fsica.

Segurana
Implementar a segurana, quer seja em uma empresa, em um domnio ou em um nico computador, significa encontrar um equilbrio entre foras fundamentalmente opostas fazer com que as informaes estejam facilmente disponveis ao maior nmero de usurios e proteger as informaes crticas contra acesso no autorizado. Encontrar o equilbrio adequado requer um planejamento cuidadoso: Avalie o risco e determine o nvel adequado de segurana da sua organizao. Identifique as informaes importantes. Defina as diretivas de segurana que usam os seus critrios de gerenciamento de risco e proteja as informaes identificadas. Determine a melhor forma de implementar as diretivas dentro da organizao existente. Certifique-se de que as exigncias de gerenciamento e tecnologia foram atendidas. Fornea a todos os usurios acesso eficiente aos recursos adequados, de acordo com as suas necessidades.

O Windows 2000 oferece extraordinrios recursos de segurana que devem garantir a flexibilidade necessria para se atender s mais difceis exigncias de segurana. Ao se planejar a segurana do Active Directory, os fundamentos da sua soluo de segurana devem se basear em: Autenticao Diretivas de segurana Controle de acesso (direitos e permisses) Auditoria Privacidade e integridade dos dados

A estrutura de segurana do Windows 2000 foi projetada para atender s mais rgidas exigncias de segurana. Contudo, o software em si pode facilmente se tornar ineficiente sem um planejamento e avaliao cuidadosos, diretrizes de segurana eficientes e treinamento do usurio.

Documento tcnico
PGINA 49

Plataforma Windows

Funes do servidor
As consideraes de segurana tambm sofrem a influncia da funo que um determinado servidor desempenha em uma organizao (como um controlador de domnio, servidor da Web, servidor de arquivos ou servidor de bancos de dados). As implementaes de segurana devem ser aplicadas de forma adequada. Isso pode ser facilitado pela definio das funes de um determinado servidor. A seguir esto as funes bsicas que podem ser desempenhadas por um servidor: Controlador de domnio Servidor de arquivos Servidor de aplicativos Servidor de bancos de dados Autoridade certificadora Servidor da Web Firewall Servidor de servio de acesso remoto e roteamento

Controlador de domnio
Os controladores de domnio gerenciam todos os aspectos das interaes dos domnios dos usurios. O Active Directory est localizado em cada controlador de domnio e armazena as credenciais de segurana de todas as contas de domnio, assim como as diretivas e configuraes de segurana baseadas em domnios. Devido confidencialidade das informaes armazenadas e devido sua funo crtica na empresa, os servidores que agem como controladores de domnio devem estar associados a medidas de segurana rgidas.

Servidor de arquivos
Os servidores de arquivo armazenam arquivos para acesso por grupos e usurios. O principal objetivo dos servidores de arquivo garantir a integridade dos arquivos e a disponibilidade dos arquivos aos grupos e usurios adequados. Definir o nvel de segurana que deve ser associado aos servidores de arquivos est diretamente relacionado aos dados que esto sendo armazenados. Os proprietrios dos dados ou as diretivas departamentais vo em geral determinar as medidas e normas que devem ser aplicadas ao armazenamento dos dados.

Servidor de aplicativos e de bancos de dados

Os servidores de aplicativos e de bancos de dados executam programas para uso na rede por diversos grupos e usurios. O principal objetivo da segurana para servidores de aplicativos garantir a disponibilidade dos programas aos grupos e usurios adequados, a integridade do programa ou programas e a integridade dos dados do Registro. Deve-se atribuir direitos e permisses adequados aos grupos que acessam o servidor. Geralmente, eles sero especificados pela(s) pessoa(s) que administra(m) o aplicativo em

Documento tcnico
PGINA 50

Plataforma Windows

questo. Em geral, os grupos no precisam modificar os dados dos servidores de aplicativos, e a permisso de Leitura deve ser suficiente na maioria dos casos. Contudo, se os usurios puderem modificar os arquivos de configurao especficos aos programas durante a sesso, eles vo precisar de permisso de Gravao para esses arquivos.

Autoridade certificadora
Ao usar um software para criar uma autoridade certificadora, como o Microsoft Certificate Server, voc pode designar um servidor para funcionar como uma autoridade certificadora na sua organizao, emitindo certificados digitais para a identificao e autenticao de usurios, assinatura por cdigo ou objetivos personalizados. Os servidores de certificados sero freqentemente o alvo pretendido da segurana de nvel mais elevado disponvel na empresa, pois comprometer a autoridade certificadora pode danificar todos os outros aspectos da segurana de dados.

Servidor da Web
Um software de servidor da Web, como o Microsoft Internet Information Services (IIS), permite que um computador que esteja executando o Windows 2000 Server possa ser host dos dados para acesso intranet e extranet e acesso geral Internet. A segurana para servidores da Web aplicada junto com o determinado dado que est sendo servido. No mnimo, um servidor da Web tambm um servidor de aplicativos, mas, s vezes, os servidores da Web tambm oferecem acesso a redes internas e da Internet.

Firewall
Um firewall (como o Microsoft Proxy Server) age como um gateway protegido entre um site (rede interna) e redes externas (intranets, extranets ou a Internet), restringindo a direo e os tipos de pedidos. Os firewalls mais eficientes agem como proxies para servios especficos. Ou seja, um programa no firewall serve como intermedirio entre o site e os servios que existem para oferecer suporte s operaes na rede externa (como navegao na Web). Os programas proxy foram projetados para serem usados com determinados protocolos de comunicao e podem aplicar restries complexas aos dados. Os firewalls tambm podem ocultar da rede externa os endereos internos da rede e recusar conexes com determinados endereos externos da rede.

Servidor de acesso remoto e roteamento

Um servidor de acesso remoto fornece acesso remoto aos recursos da empresa. O Routing and Remote Access Service (RRAS, servio de acesso remoto e roteamento) do Windows 2000 oferece suporte s seguintes funes do servidor: Servidor dial-in Servidor Virtual Private Network (VPN, rede particular virtual) Servidor de roteamento Um nico servidor pode executar todas essas funes, ou determinadas funes podem ser distribudas entre servidores.

Documento tcnico
PGINA 51

Plataforma Windows

Diretivas de segurana do Active Directory

As diretivas de segurana podem ser aplicadas aos sites, domnios e UOs (nessa ordem). Como o caso de toda a segurana do Active Directory, a herana aplicada, como padro; os direitos aplicados a um domnio tambm so aplicados s UOs filho desse domnio. O campo de ao das diretivas de segurana est diretamente relacionado ao espao de nome do Active Directory a hierarquia de rvore estruturada de sites, domnios, UOs e usurios/computadores. Em vrios casos, isso vai gerar uma nica diretiva de segurana ampla que vai existir para um site ou domnio. Cada uma das UOs filho (ou domnios filho) vai ter diretivas de segurana que so um subconjunto das diretivas aplicadas ao pai, com diretivas adicionais atribudas que so especficas sua finalidade organizacional ou funcional. Uma diretiva de segurana est contida em um objeto Diretivas de grupo (ou Group Policy Object). Voc pode aplicar diretivas de segurana, atribuindo um objeto Diretivas de grupo a cada domnio e UO. S um objeto Diretivas de grupo pode ser atribudo por domnio ou UO em um determinado momento.

Direitos e permisses
O acesso aos recursos e/ou objetos controlado atravs de permisses e direitos de acesso. Os direitos se aplicam a contas de grupos e de usurios (e aos processos que agem em nome de grupos e de usurios) e autorizam o grupo ou usurio a realizar determinadas operaes, como fazer backup de arquivos e diretrios, efetuar logon interativamente ou desligar um computador. Os direitos definem as capacidades no nvel do domnio ou no nvel do local e podem ser melhor administrados por grupo; um usurio que efetua logon como membro de um grupo herda os direitos associados ao grupo. As permisses so atributos de segurana dos objetos. Os objetos incluem objetos do sistema de arquivos NTFS (arquivos, pastas ou volumes), objetos do sistema (como processos) e objetos locais ou do Active Directory (como objetos de usurio, grupo ou impressora). As permisses especificam que usurios ou grupos podem acessar o objeto, bem como que aes eles podem executar nele. Os tipos de permisses que podem ser concedidas variam com o objeto em questo. Os objetos do sistema de arquivos contm atributos de permisso, como Leitura, Gravao e Execuo de uma pasta, enquanto uma fila de impresso tem permisses associadas concesso da possibilidade de impresso e gerenciamento da impressora e da fila de trabalhos. As permisses atribudas a um objeto permanecem com o objeto, mesmo que ele seja movido para outro recipiente ou domnio do Active Directory. Os direitos so aplicados independentemente dos outros objetos, o que significa que um direito pode s vezes sobrepor a uma permisso. Por exemplo, um usurio que membro do grupo Operadores de backup tem o direito de executar operaes de backup em todos os servidores de um domnio. Como esse direito requer a capacidade de ler todos os arquivos desses servidores, o usurio ter acesso aos dados que de outra forma lhe seria

Documento tcnico
PGINA 52

Plataforma Windows

negado atravs das permisses do objeto. O direito, nesse caso, o direito de executar um backup, prevalece sobre todas as permisses de arquivo e de diretrio. As permisses so acumulativas; uma permisso de nvel superior inclui todas as permisses de nveis inferiores, com exceo da permisso Sem acesso, que se sobrepe s outras. Por exemplo, se o usurio A for membro de dois grupos com permisses a um determinado arquivo, sendo que o Grupo 1 tem permisso de Leitura e o Grupo 2 tem permisso de Alterao, os direitos em vigor para o usurio A nesse arquivo so de Alterao. Contudo, se o usurio A for adicionado ao Grupo 3 assinalado com a permisso Sem acesso, o usurio A no teria acesso ao arquivo, independentemente das permisses concedidas por outros membros do grupo. O Windows 2000 Server usa um conjunto de permisses padro para os diretrios e arquivos do NTFS. As permisses padro podem ser combinaes de permisses individuais especficas. As permisses individuais so: Controle total Modificao Leitura e Execuo Listagem de contedo de pasta (para pastas somente) Leitura Gravao

Herana
Como padro, cada objeto filho herda as permisses de seu pai. A herana transmite as permisses atribudas a um objeto e suas propriedades a todos os filhos do objeto. A herana pode ser limitada em qualquer objeto do recipiente. Ao aplicar a herana atribuio de direitos e permisses, voc pode distribuir em toda a gerncia da empresa a administrao das contas, diretivas e recursos. O componente administrativo das diretivas de segurana pode equivaler de forma eficiente a um organograma uma rvore de administradores com um campo de autoridade sucessivamente limitado. Como padro, um objeto herda as permisses de seu pai quando ele criado. Isso facilita a criao e administrao de hierarquias lgicas. Contudo, as permisses atribudas ou modificadas no prprio objeto vo sempre prevalecer em relao s permisses herdadas. Por exemplo, se voc acrescentar um arquivo a uma pasta que permite ao grupo de TI a permisso de Alterao e ao grupo de Finanas permisso de Leitura, essas mesmas permisses se aplicam ao arquivo. Voc pode alterar as permisses dos arquivos, selecionando e modificando as permisses do grupo de Finanas para Sem acesso. Ao desativar a opo de herdar permisses do pai, as permisses de arquivo no sero afetadas por nenhuma alterao subseqente s permisses atribudas pasta pai.

Controle de acesso
O acesso aos recursos e/ou objetos controlado atravs de permisses e direitos de acesso. O controle de acesso pode ser aplicado a qualquer objeto do Active Directory. Os

Documento tcnico
PGINA 53

Plataforma Windows

direitos e permisses atribudos no nvel do domnio so distribudos em todo o domnio pelo Active Directory.

Direitos e permisses
Os direitos se aplicam s contas de grupo e de usurio (e aos processos que agem em nome de grupos e de usurios) e autorizam o grupo ou usurio a realizar determinadas operaes, como fazer backup de arquivos e diretrios, efetuar logon interativamente ou desligar um computador. Os direitos definem capacidades no nvel do domnio ou no nvel local e so melhor administrados por grupos: um usurio que efetua logon como membro de um grupo herda os direitos associados ao grupo. Os direitos so aplicados independentemente dos outros objetos, o que significa que um direito pode s vezes sobrepor a uma permisso. Por exemplo, um usurio que membro do grupo Operadores de backup tem o direito de executar operaes de backup em todos os servidores de um domnio. Como esse direito requer a capacidade de ler todos os arquivos desses servidores, o usurio ter acesso aos dados que de outra forma lhe seria negado atravs das permisses do objeto. O direito, nesse caso, o direito de executar um backup, prevalece sobre todas as permisses de arquivo e de diretrio. As permisses so atributos de segurana dos objetos. Os objetos incluem objetos do sistema de arquivos NTFS (arquivos, pastas ou volumes), objetos do sistema e objetos locais ou do Active Directory (como objetos de usurio, grupo ou impressora). As permisses especificam que usurios ou grupos podem acessar o objeto, bem como que aes eles podem executar nele. Os tipos de permisses que podem ser concedidas variam com o objeto em questo. Os objetos do sistema de arquivos contm atributos de permisso, como Leitura, Gravao e Execuo de uma pasta, enquanto uma fila de impresso tem permisses associadas concesso da possibilidade de impresso e gerenciamento da impressora e da fila de trabalhos. As permisses atribudas a um objeto permanecem com o objeto, mesmo que ele seja movido para outro recipiente ou domnio do Active Directory. Voc pode atribuir permisses aos objetos como um todo ou a qualquer atributo desse objeto. Isso permite se aplicar um controle de acesso granular dentro do Active Directory. Isso tambm pode gerar um esquema administrativo complexo demais que impossvel de se administrar. Ao se planejar o controle de acesso, certifique-se de que os direitos so aplicados de uma forma lgica. As permisses atribudas permitem ou rejeitam determinadas aes para um determinado objeto ou suas propriedades. Para os recipientes (como UOs), essas permisses podem ser aplicadas a objetos filho. Isso garante uma gama de opes para se exercer o controle de acesso. possvel controlar no s quem v um objeto, mas tambm quem pode ver determinadas propriedades de objeto. As permisses para uma nica propriedade representam o nvel mais alto de granulosidade que se pode definir. O Active Directory fornece grande flexibilidade na forma como as permisses so aplicadas. As permisses atribudas a um recipiente (domnio/UO) podem ser aplicadas a: O objeto atual

Documento tcnico
PGINA 54

Plataforma Windows

 O objeto e todos os seus objetos filho Somente aos seus objetos filho Somente a determinados objetos filho

Herana
As permisses so acumulativas; uma permisso de nvel superior inclui todas as permisses de nveis inferiores, com exceo da permisso Sem acesso, que se sobrepe s outras. Por exemplo, se o usurio A for membro de dois grupos com permisses a um determinado arquivo, sendo que o Grupo 1 tem permisso de Leitura e o Grupo 2 tem permisso de Alterao, os direitos em vigor para o usurio A nesse arquivo so de Alterao. Contudo, se o usurio A for adicionado ao Grupo 3 assinalado com a permisso Sem acesso, o usurio A no teria acesso ao arquivo, independentemente das permisses concedidas por outros membros do grupo. Como padro, cada objeto filho herda as permisses de seu pai. A herana transmite as permisses atribudas a um objeto e suas propriedades a todos os filhos do objeto. A herana pode ser limitada em qualquer objeto do recipiente. Ao aplicar a herana atribuio de direitos e permisses, voc pode distribuir (em toda a gerncia da empresa) a administrao das contas, diretivas e recursos. Como padro, um objeto herda as permisses de seu pai quando ele criado. Isso facilita a criao e administrao de hierarquias lgicas. Contudo, as permisses atribudas ou modificadas no prprio objeto vo sempre prevalecer em relao s permisses herdadas. Por exemplo, se voc acrescentar um arquivo a uma pasta que permite ao grupo de TI a permisso de Alterao e ao grupo de Finanas permisso de Leitura, essas mesmas permisses se aplicam ao arquivo. Voc pode alterar as permisses dos arquivos, selecionando e modificando as permisses do grupo de Finanas para Sem acesso. Ao desativar a opo de herdar permisses da pai, as permisses de arquivo no sero afetadas por nenhuma alterao subseqente s permisses atribudas pasta pai.

Administrao delegada
A capacidade de delegar administrao um dos recursos chave do Active Directory e tem sido aguardado com ansiedade pelos administradores. A administrao delegada permite que se fornea controle administrativo limitado a partes e tarefas do Active Directory. Isso elimina a necessidade de que vrios administradores tenham autoridade completa sobre um domnio ou site inteiro. Um gerente que tenha os direitos adequados pode, por sua vez, delegar a administrao de um subconjunto de contas e recursos. A forma mais fcil de se usar a delegao espelhar as responsabilidades administrativas da organizao nas diretivas de segurana. Por exemplo, ao se especificar o departamento de contabilidade como um recipiente, possvel atribuir direitos do gerente do departamento relacionados criao e gerenciamento dos recursos, grupos e usurios de contabilidade. A delegao pode se aplicar a um recipiente individual ou a uma rvore de recipientes. Os direitos atribudos so vlidos somente para o recipiente ou recipientes designados e permitem que o usurio de confiana: Atribua propriedades para um determinado recipiente.

Documento tcnico
PGINA 55

Plataforma Windows

 Crie e exclua determinados tipos de objetos filho do recipiente. Atribua propriedades especficas a determinados tipos de objetos filho do recipiente. As opes para delegao de acesso podem ser assustadoras devido ao enorme nmero de opes disponveis. O administrador pode: Delegar o controle de todo o recipiente ou 14 tipos diferentes de objetos que podem ser delegados. Dentro desse recipiente de objetos selecionados que podem ser delegados, existem:

a) 16 tipos de permisses gerais. b) 54 permisses de propriedades individuais. c) 88 permisses individuais associadas s permisses de criao e excluso de subobjetos. Existem, portanto, 158 opes de permisses individuais, o que gera milhares de combinaes. Embora seja uma boa idia conhecer os tipos disponveis de permisses que podem ser delegadas, convm manter as permisses em um nvel alto o suficiente para que sejam gerenciveis.
Delegar recipientes inteiros quando:

a) O campo de ao da administrao para o grupo delegado envolver todos os objetos do recipiente. b) Ao se passar a autoridade para uma sub-rvore de um ambiente de TI descentralizado. Esse tipo de delegao adequado delegao de UO departamental.
Delegar objetos do recipiente parcial quando:

c) Ao se atribuir autoridade administrativa baseada em tarefas, como ao se criar administraes de impressora ou de usurio, etc. A delegao do recipiente parcial adequa-se bem administrao baseada em tarefas.
A figura a seguir ilustra a delegao bsica para as duas finalidades. O grupo de administradores de fabricao foi delegado na UO de fabricao e forneceu acesso completo, exceto o reservado aos administradores do nvel da raiz. As UOs de usurios e de impressoras s receberam o controle dos seus respectivos objetos (usurios e impressoras).

Documento tcnico
PGINA 56

Plataforma Windows

Super mercado

Delegado a: -Admins de fabricao No pode modificar direitos de acesso, criar/ excluir recipientes ou grupos intellimirror.

uo=

Fabricao Delegado a: -Admins contab-FABR S pode criar/excluir objetos de usurio e grupo.

uo=

Computadores

uo=

Usurios Delegado a: - Admins impres-FABR S pode criar/excluir objetos de impresso.

uo=
n

Impressoras

Figura 29: Delegao simples

Observe que a entidade administrativa para a UO recebeu acesso completo, exceto as permisses reservadas pelos administradores da empresa, enquanto os administradores baseados em tarefas (usurios e impressoras) receberam explicitamente somente as permisses necessrias para realizar as tarefas designadas. Salvo que se esteja completamente confortvel com os impactos da delegao de permisso, convm trabalhar com alguns conceitos bsicos durante o planejamento:

1) Qualquer permisso que tenha um impacto adverso em unidades adjacentes ou recipientes superiores na hierarquia devem estar restritos autoridade administrativa superior. 2) Nunca se deve delegar autoridade completa a um recipiente (ou seja, permisses de modificao e controle de acesso), exceto se no houver nenhuma autoridade administrativa superior. 3) Ao se delegar tarefas, s se deve delegar os objetos e permisses do recipiente necessrios execuo do trabalho. A forma em que as permisses so delegadas tambm vai variar dependendo do modelo de TI administrativo usado: Tipo de TI Centralizado Descentralizado TI distribudo Mtodo recomendado de delegao de UO A delegao sempre se baseia em tarefas. Todas as permisses so delegadas. A delegao de permisses e a criao de recipientes restrita.

Impacto no design do diretrio

A capacidade de realizar delegaes administrativas lgicas com base em recipientes suficiente para justificar um impacto na estrutura da UO para justificar recipientes que podem ser delegados. Contudo, deve-se ter cuidado para no se basear uma estrutura de diretrio somente na necessidade administrativa. Do ponto de vista de se priorizar consideraes de design, o peso colocado na facilidade da administrao ser ajustado depois que determinados objetivos forem alcanados. claro que a estrutura do diretrio deve poder ser administrada, e at esse momento a administrao prevalece. Contudo, assim que esse objetivo for alcanado, a administrao deve assumir um papel secundrio em relao aos outros objetivos de design, como segurana, otimizao da rede, capacidade de adaptao e escalabilidade.

Documento tcnico
PGINA 57

Plataforma Windows

Infra-estrutura da chave pblica

As redes no so mais sistemas fechados onde a simples presena do usurio na rede serve como prova de identidade. As redes empresariais pode consistir em intranets, sites da Internet e extranets, e todos esses podem se estender alm da rede local. H diversos motivos de preocupao quanto ao acesso aos dados. Muitas transaes comerciais so realizadas atravs da rede. E muitos funcionrios podem no ser permanentes. Ou a empresa pode trabalhar com parceiros em projetos de abrangncia e durao limitados, com funcionrios sobre os quais nada se sabe. Em outras palavras, verificar a identidade de um usurio tornou-se uma tarefa difcil nos ltimos anos, enquanto as relaes comerciais (entre as empresas e entre as empresas e seus funcionrios) tornaram-se mais transitrias. Uma infra-estrutura de chave pblica pode fornecer mecanismos para solucionar esses problemas, apresentando certificados de confiana que podem verificar a autenticidade. Dependendo das necessidades da empresa, uma infra-estrutura de chave pblica pode incluir: Uma diretiva abrangente determinando como os certificados e chaves devem ser usados. Os certificados podem ser usados por programas clientes somente nas intranets por todos os funcionrios ou por funcionrios especficos. Eles podem ser usados para contas associadas a empresas de parceiros nas extranets ou para contas de acesso limitado na Internet. E os certificados podem ser usados para procedimentos de logon com smartcards. Diretivas de gerenciamento de confiana para cada autoridade certificadora (AC). A empresa pode precisar de uma AC para emitir certificados para autenticao de contas padro ou para segurana de correio eletrnico. Nesse caso, convm escolher uma AC de confiana para essa finalidade. Contudo, se a organizao tiver vrias funes de certificado, como assinatura por cdigo, autenticao, correio eletrnico e acesso extranet/Internet, deve-se considerar a atribuio de uma AC de confiana a cada funo. Regras de emisso e de validao para cada AC. As regras de emisso e de validao especificam para quem e em que condies uma AC pode emitir um certificado. Uma nica AC que est emitindo certificados para autenticao ou uso de correio eletrnico pode emitir certificados para todos os funcionrios ou para funcionrios especficos. Diversas ACs emitiriam certificados somente para usurios que possam ser validados de acordo com a base funcional da AC, como um membro do grupo de desenvolvimento para uma AC de assinatura por cdigo. Disponibilidade das ACs em uma cadeia de certificados de AC. Quando um certificado de AC validado por outra AC, os certificados para as duas ACs devem estar disponveis para o cliente. Quando as cadeias de AC se tornam muito longas, pode ser difcil garantir a disponibilidade dos certificados de todas as ACs. A infra-estrutura da chave pblica deve lidar com essas possveis situaes.

Documento tcnico
PGINA 58

Plataforma Windows

 Diretivas de revocao de certificados. Devem ser criadas diretivas para revocao de um certificado que no se aplica mais ou que foi mal usado. Por exemplo, convm revogar um certificado que foi emitido para um funcionrio que no est mais na organizao. Diretivas de renovao de certificados. Na expirao, em vez de exigir um novo certificado, convm renovar o certificado j existente. As diretivas devem abordar quando, como e se isso pode ocorrer. O Microsoft Windows 2000 introduz uma Public Key Infrastructure (PKI, infra-estrutura de chave pblica) abrangente na plataforma do Windows. Isso maximiza e amplia os servios de criptografia de Public Key (PK, chave pblica) do Windows, introduzidos durante os ltimos anos, fornecendo um conjunto integrado de servios e ferramentas administrativas para a criao, implantao e gerenciamento de aplicativos baseados em chaves pblicas. Isso permite que os desenvolvedores de aplicativos aproveitem os mecanismos de segurana secreta compartilhada do Windows 2000 Server ou o mecanismo de segurana baseado em chaves pblicas, conforme adequado. Ao mesmo tempo, as empresas tm a vantagem de poder gerenciar o ambiente e os aplicativos com base em ferramentas consistentes e mecanismos de diretivas.

Propriedades de segurana
As propriedades de segurana descrevem os atributos fornecidos atravs dos protocolos de chave pblica e de segurana IP. Esses atributos incluem itens como autenticao, integridade dos dados e confidencialidade. O Windows 2000 inclui um sistema de gerenciamento de chaves totalmente funcional que realizado pelo Microsoft Certificate Server. Os certificados do Windows 2000 se integram ao Active Directory para permitir a publicao e processamento automticos dos pedidos de certificado. A segurana PKI e IP protege os dados particulares em um ambiente pblico. Os administradores e usurios do sistema precisam que os seus dados estejam protegidos contra interceptao, modificao ou acesso por indivduos no autorizados, e os certificados garantem essa segurana. Autenticao: Determina a identidade real do outro host. Sem uma autenticao forte, qualquer dado e o host que envia o dado so suspeitos. possvel selecionar o mtodo de autenticao que ser usado na comunicao. Integridade: Protege os dados contra modificao no autorizada em trnsito, garantindo que os dados recebidos estejam exatamente como eram quando foram enviados. possvel selecionar que algoritmo ser usado para os servios de integridade. Confidencialidade: Garante que os dados s sejam mostrados aos recipientes desejados, ao criptografar os dados antes da transmisso. Essa propriedade pode ser configurada para atender a restries de exportao, que colocam limites nos tamanhos das chaves. Anti-reproduo ou preveno contra reproduo: Garante que cada pacote IP seja diferente. Isso protege contra ataques durante os quais uma tentativa feita de se interceptar uma mensagem a ser usada posteriormente para recursos de acesso invlido.

Documento tcnico
PGINA 59

Plataforma Windows

Impossibilidade de repdio: Protege os dados contra a desautorizao pela fonte. Em outras palavras, um remetente no pode negar que ele era a fonte dos dados gerando uma fonte de dados duvidosa.

Componentes de segurana da chave pblica

O suporte para a criao, implantao e gerenciamento de aplicativos baseados em chaves pblicas fornecido uniformemente nas estaes de trabalho e servidores de aplicativos do Windows NT e 2000, assim como nas estaes de trabalho do Windows 95 e 98. A figura mostrada a seguir fornece uma viso geral desses servios de aplicativos. O Microsoft CryptoAPI a base desses servios. Ele fornece uma interface padro para a funcionalidade criptogrfica fornecida por Cryptographic Service Providers (CSPs, provedores de servio de criptografia) instalveis. Esses CSPs podem ser baseados em software ou aproveitar os dispositivos de hardware de criptografia e oferecem suporte a diversos algoritmos e chaves. Conforme indicado na figura, um possvel CSP baseado em hardware oferece suporte a smartcards.

Aplicativos Interfaces de smartcards Authenticode APIs da rede

CryptoAPI Servios de Padres de gerenciamento mensagens de certificados (PKCS) Servios cripto

Secure Channel E/S de arquivo EFS

Leitura

Driver de disp. disp.

CSP de hardware

CSP base RSA

Figura 30

Um conjunto de servios de certificados est colocado em camadas nos servios de criptografia. Esses servios oferecem suporte aos certificados padro X.509v3, garantindo um armazenamento persistente, servios de enumerao e suporte de decodificao. Por fim, existem os servios que lidam com formatos de mensagens de padro industrial. Outros servios aproveitam as vantagens do CryptoAPI para fornecer funcionalidade adicional aos desenvolvedores de aplicativos. O Secure Channel (schannel) oferece suporte autenticao e criptocrafia usando protocolos TLS e SSL de padro industrial. Eles podem ser acessados usando-se a interface WinInet da Microsoft para uso com o protocolo HTTP (HTTPS) e usado com outros protocolos atravs da interface SSPI. O

Documento tcnico
PGINA 60

Plataforma Windows

Authenticode oferece suporte assinatura e verificao de objetos. Isso tem sido usado principalmente para determinar a origem e integridade dos componentes descarregados da Internet, embora possa ser usado em outros ambientes. Por fim, h suporte para interfaces de smartcards de finalidade geral. Essas tm sido usadas para integrar smartcards de criptografia em um aplicativo independentemente da forma e so a base do suporte de logon da smartcard integrado ao Windows 2000.

Criptografia e chaves pblicas

A criptografia a cincia da proteo dos dados. Os algoritmos de criptografia combinam matematicamente dados sem formatao de entrada e uma chave de criptografia a fim de gerar dados criptografados denominados texto cifrado. Na criptografia tradicional de chave secreta, as chaves de criptografia e descriptografia so idnticas e, portanto, tm os mesmos dados confidenciais. Os indivduos que desejam se comunicar atravs da criptografia de chave secreta devem trocar em segurana as suas chaves de criptografia e descriptografia para que possam trocar dados criptografados. Em oposio, a propriedade fundamental da criptografia de chave pblica que as chaves de criptografia e descriptografia so diferentes. A criptografia que usa uma chave de criptrografia pblica uma funo de mo nica; o texto sem formatao se transforma em texto cifrado facilmente, mas a chave de criptografia irrelevante ao processo de descriptografia. Uma chave de descriptografia diferente (relacionada, mas no idntica chave de criptografia) necessria para transformar o texto cifrado de volta em texto sem formatao. Portanto, para a criptografia de chave pblica, cada usurio tem um par de chaves que consistem em uma chave pblica e uma chave privada. Ao disponibilizar a chave pblica, possvel que outros enviem dados criptografados para o proprietrio da chave que s podem ser descriptografados com a chave privada. Da mesma forma, um usurio pode transformar dados usando a chave privada de forma que outros usurios possam verificar que ela se originou com o proprietrio da chave privada. Essa ltima capacidade a base das assinaturas digitais analisadas em seguida.
Destinatrio

REMETENTE

Dados criptografados

Dados criptografados

=
DADOS

+ +
Algoritmo

Algoritmo

Chave pblica do destinatrio

DADOS

Chave privada do destinatrio

Figura 31

A figura anterior ilustra o fluxo de dados usando a criptografia de chave pblica. Se o

Documento tcnico
PGINA 61

Plataforma Windows

remetente nesse caso desejasse enviar dados ao computador destinatrio usando uma chave secreta, por exemplo, tanto o remetente quanto o destinatrio gerariam metade da chave secreta. O remetente obteria a chave pblica do destinatrio para criptografar metade da chave secreta e a enviaria ao destinatrio. O remetente e o destinatrio juntariam as metades da chave secreta para gerar a chave secreta compartilhada a ser usada na criptografia dos dados a serem enviados. Essa negociao de chave secreta e o uso da chave secreta para criptografar dados garantem autenticidade, integridade e confidencialidade.

Certificados
Os certificados garantem um mecanismo para obter confiana na relao entre uma chave pblica e a entidade que detm a chave privada correspondente. Um certificado um determinado tipo de declarao assinada digitalmente; o assunto do certificado uma determinada chave pblica de assunto e o certificado assinado pelo seu emissor (que detm outro par de chaves particulares de pblicas).

Certificado digital
Nome do usurio: Nmero de srie: Validade chave pblica: mm/dd/aa

Chave pblica

Autoridade certificadora

Figura 32

Geralmente, os certificados tambm contm outras informaes relacionadas chave pblica de assunto, como informaes de identidade sobre a entidade que tem acesso chave privada correspondente. Portanto, ao emitir um certificado, o emissor est atestando a validade da juno entre a chave pblica de assunto e as informaes de identificao do assunto.

Servios de certificado
O Microsoft Certificate Server, includo no Windows 2000, fornece servios personalizveis para emisso e gerenciamento de certificados para aplicativos que usam a criptografia de

Documento tcnico
PGINA 62

Plataforma Windows

chave pblica. O Certificate Server tem uma funo central no gerenciamento desse sistema a fim de fornecer uma comunicao segura na Internet, nas intranets corporativas e em outras redes no protegidas. O Microsoft Certificate Server pode ser personalizado para atender s exigncias de aplicativos de diferentes organizaes. A funo dos servios de certificado criar uma autoridade certificadora (AC) com a finalidade de receber um pedido de certificado no formato PKCS #10, verificar as informaes do pedido e emitir um certificado X.509 correspondente no formato PKCS #7. O mdulo de diretivas do Certificate Server usa a autenticao de pedidos de certificado da rede para emitir certificados para usurios de contas de domnio do Windows 2000. O mdulo de diretivas pode ser personalizado para atender s necessidades da organizao emissora. O Certificate Server gera certificados em um formato X.509 padro.

Documento tcnico
PGINA 63

Plataforma Windows

O Certificate Server recebe pedidos de novos certificados atravs de transportes como RPC, HTTP ou correio eletrnico. Ele verifica cada pedido em relao s diretivas personalizadas ou especficas ao site, define as propriedades opcionais do certificado a ser emitido e emite o certificado. Ele tambm permite que os administradores acrescentem elementos a uma Certificate Revocation List (CRL, lista de revogao de certificados) e publiquem freqentemente uma CRL assinada. Para solicitar um certificado, um usurio pode usar o snap-in do Gerenciador de certificados ou o Internet Explorer. Um Cryptographic Service Provider (CSP, provedor de servios criptogrficos) localizado no computador gera um par de chaves pblica e privada para o usurio. A chave pblica do usurio enviada com as informaes necessrias de identificao para a AC. Se as informaes de identificao do usurio atenderem aos critrios da AC para concesso de um pedido, a AC gera o certificado, que recuperado pelo aplicativo do cliente (Gerenciador de certificados ou Internet Explorer) e armazenado localmente. Os servios de certificado oferecem suporte a Secure/Multipurpose Internet Mail Extensions (S/MIME, extenses de correio eletrnico da Internet de vrias finalidades/seguras), pagamento seguro, como Secure Electronic Extensions (SET, extenses eletrnicas seguras) e assinaturas digitais. A sua organizao pode preferir emitir todos os certificados a partir de uma nica AC ou usar diversas ACs que esto conectadas em uma hierarquia de ACs.

Planejando autoridades certificadoras

Uma autoridade certificadora (AC) simplesmente uma entidade ou servio que emite certificados. Uma AC age como abonador da vinculao entre a chave pblica e as informaes de identificao contidas nos certificados que emite. ACs diferentes podem ser vinculadas para formar uma confiana hierrquica de autoridades conhecida como hierarquia de ACs. Uma implementao comum no Windows 2000 a criao de uma hierarquia de certificados da empresa para distribuir a administrao e a carga. Isso no tem nenhuma relao com a hierarquia de domnios, embora as confianas de ACs geralmente coincidam com as confianas Kerberos. Uma hierarquia de autoridades certificadoras estabelece uma confiana transitiva de certificados emitidos.

Documento tcnico
PGINA 64

Plataforma Windows

Supermercado.com AC raiz

Amrica do Sul AC subordinada

Europa AC subordinada

Confiana implcita Usurio1

n

Usurio2

Figura 33

Por exemplo, como a Amrica do Sul e a Europa confiam na AC raiz Supermercado, elas tambm vo confiar mutuamente nos seus certificados. Dentro de grandes organizaes que so compostas de diversas unidades pequenas, comum a necessidade de cada unidade gerenciar os seus prprios recursos na intranet corporativa. Cada unidade deve implementar as diretivas segundo as quais os solicitantes obtm aprovao para acessar os recursos da intranet. Voc pode dar a essas unidades a capacidade de estabelecer diretivas e emitir certificados por si prprias, permitindo que elas instalem servios de certificado e criem a sua prpria autoridade certificadora (AC). Voc deve monitorar cuidadosamente a proliferao de diversas ACs dentro de uma intranet para que a autoridade no seja mal empregada. Nas empresas grandes, podem existir vrias camadas de ACs e, portanto, a hierarquia pode ser implantada em todas as unidades da organizao pai. O uso de uma hierarquia de ACs d s organizaes grandes a flexibilidade necessria para o gerenciamento de diretivas e a concesso de certificados em todo o sistema de certificao composto de diversas autoridades certificadoras e gerenciado a partir de um nico ponto central.

IPSec
O Microsoft Windows 2000 Server inclui uma implementao da Internet Protocol Security (IPSec, segurana do protocolo da Internet), baseada nos padres IETF para IPSec. A implementao da segurana IP no Windows 2000 foi criada para proteger as

Documento tcnico
PGINA 65

Plataforma Windows

comunicaes ponta-a-ponta entre hosts. Supe-se que o que est entre eles, o meio usado para a transmisso de dados, no seguro. Os dados do aplicativo do host que est iniciando a comunicao so criptografados de forma transparente antes de serem enviados atravs da rede. No host de destino, os dados so descriptografados de forma transparente antes de serem passados para o aplicativo receptor. Criptografar todo o trfego da rede IP garante que qualquer comunicao que use o TCP/IP esteja protegida contra escutas. Como os dados so transmitidos e criptografados no nvel do protocolo IP, no so necessrios pacotes de segurana distintos para cada protocolo do stack TCP/IP. Geralmente, um nvel alto de segurana aumenta a administrao. O Windows 2000 fornece uma interface administrativa, o IP Security Policy Management, para gerenciar de forma centralizada as diretivas, equilibrando facilidade de uso e segurana. As diretivas de IPSec podem ser facilmente configuradas para atender s exigncias de segurana de um usurio, grupo, aplicativo, domnio, site ou empresa global. As diretivas se baseiam em metodologias crticas de filtragem de IP, deixando que voc permita ou bloqueie as comunicaes em um nvel alto (sub-redes inteiras) ou em um nvel granular (protocolos especficos em portas especficas), conforme julgado necessrio. O IPSec pode fornecer um nvel alto de proteo devido sua implementao no nvel de transporte IP (camada 3 da rede). A segurana da camada 3 fornece proteo para todos os protocolos de camadas superiores e IP do conjunto de protocolos TCP/IP (TCP, UDP, ICMP, Raw [protocolo 255] e at mesmo protocolos personalizados). Aplicativos que usam TCP/IP transmitem os dados para a camada do protocolo IP, onde os dados so protegidos pela IPSec. Os mecanismos de segurana que funcionam acima da camada 3, por exemplo o Secure Sockets Layer (SSL, camada de soquetes de seguros), s protegem aplicativos que usam o SSL, como navegadores da Web. Os mecanismos de segurana que funcionam abaixo da camada 3, por exemplo criptografia da camada de link, no so portveis para comunicao pela Internet ou intranet encaminhada. Ao funcionar na camada 3, a IPSec transparente para usurios e aplicativos. Voc no precisa de pacotes de segurana distintos para cada protocolo do conjunto TCP/IP. Assim que as diretivas estiverem configuradas, os usurios no vo precisar agir para proteger os dados.

Diretivas da segurana IP
O recurso IPSec implantado atravs das diretivas do Windows 2000. Diversas diretivas de segurana podem existir para um determinado domnio, mas os componentes das diretivas so constantes. Diretivas de negociao: As diretivas de negociao determinam os servios de segurana usados durante uma comunicao. Voc pode escolher entre servios que incluem confidencialidade (ESP) ou que no fornecem confidencialidade (AH), ou o algoritmo de segurana IP pode ser especificado. Tambm possvel se definir diversos mtodos de segurana para cada diretiva de negociao. Se o primeiro mtodo no for aceito para a associao de segurana, o servio ISAKMP/Oakley vai prosseguir na lista

Documento tcnico
PGINA 66

Plataforma Windows

at encontrar um mtodo que possa ser usado para estabelecer a associao. Diretivas de segurana: Cada configurao dos atributos da segurana IP chamada de diretiva de segurana. As diretivas de segurana so compostas de diretivas de negociao e filtros IP associados. As diretivas de segurana so associadas s diretivas do controlador de domnio. Uma diretiva de segurana IP pode ser atribuda s Diretivas de domno padro, Diretivas locais padro ou diretivas de domnio personalizadas criadas por voc. Um computador que efetua logon no domnio vai aproveitar automaticamente as propriedades das diretivas de domnio padro e locais padro, incluindo as diretivas de segurana IP atribudas a essas diretivas de domnio. Filtros IP: Os filtros IP determinam aes diferentes a serem tomadas com base no local de destino de um pacote de IP, no protocolo IP que est sendo usado (por exemplo, TCP ou UDP) e nas portas relacionadas que so usadas pelo protocolo. O prprio filtro usado como um padro para correspondncia de pacotes IP. Cada pacote IP verificado em relao ao filtro IP e, se houver uma correspondncia, as propriedades das diretivas de segurana associadas so usadas para enviar a comunicao.

Opes de segurana IP
Parte das diretivas de negociao de IPSec determina a funo a ser desempenhada por um computador durante a comunicao. Trs modos bsicos de funcionamento podem ser atribudos a um computador: Respondedor: Um respondedor vai se comunicar atravs de IPSec, quando solicitado. Isso pode resultar do fato de um respondedor iniciar uma sesso de comunicao com um computador que esteja funcionando no modo de iniciador ou de bloqueio ou de ser solicitado por um iniciador. Iniciador: Como padro, um iniciador vai se comunicar atravs de IPSec. Se o computador de destino no oferecer suporte a comunicaes seguras, um iniciador vai responder e se comunicar sem proteo. Bloqueio: Um computador no modo de bloqueio s vai se comunicar atravs de IPSec. As diretivas bsicas podem ser aprimoradas com filtros para fornecer aplicao granular das diretivas. Por exemplo, os computadores de um determinado departamento podem ter diversas diretivas de negociao dependendo do endereo IP do computador com o qual est estabelecendo uma comunicao. Os usurios experientes podem decidir que algoritmo HMAC ser usado para garantir a integridade. HMAC-MD5 e HMAC-SHA fornecem o mesmo nvel de proteo, com a diferena sendo o tamanho da chave usada para proteger as informaes: MD5 usa uma chave de 128 bits e SHA, uma chave de 160 bits. Chaves mais compridas oferecem mais segurana. Os usurios experientes tambm podem decidir que algoritmo ser usado em servios de confidencialidade. A confidencialidade garantida usando-se o Digital Encryption Standard (DES, padro de criptografia digital). 40DES oferecido para garantir a compatibilidade com normas de exportao, que limitam o tamanho das chaves. 3DES, tambm chamado de DES triplo, oferece o tamanho padro de chave de 56 bits ao passar trs vezes pelo processo de criptografia. Em cada passagem, ele usa uma nova chave exclusiva, gerando

Documento tcnico
PGINA 67

Plataforma Windows

a criptografia tripla das informaes. Cipher Block Chaining (CBC, encadeamento de bloco cifrado) com DES (DES-CBC) tambm fornece um tamanho de chave de 56 bits e evita reproduo adicional. Protocolos de segurana Os protocolos de segurana oferecem servios de proteo de dados e identidade (endereamento). Os usurios experientes podem selecionar o protocolo que ser usado em uma comunicao: Authentication Header (AH, cabealho de autenticao) fornece proteo de identidade, com servios de autenticao, integridade e anti-reproduo. Proteo de identidade significa que somente as informaes de endereamento so criptografadas e no os dados. Contudo, j que a integridade fornecida, os dados no podem ser modificados, embora possam ser lidos (AH no oferece confidencialidade). O Authentication Header (AH) do IP pode no oferece a impossibilidade de repdio se usado com determinados algoritmos de autenticao. Encapsulated Security Protocol (ESP, protocolo de segurana encapsulado) ESP um mecanismo para fornecer integridade e confidencialidade aos datagramas IP. Tambm pode fornecer autenticao, dependendo do algoritmo e do modo de algoritmo que so usados. O ESP no fornece a impossibilidade de repdio e proteo contra anlise do trfego. O Authentication Header (AH) do IP pode fornecer no repudiao se usado com determinados algoritmos de autenticao. O Authentication Header do IP pode ser usado junto com o ESP para fornecer autenticao.

Planejando as diretivas de PKI e IPSec

O gerenciamento e a administrao de IPSec esto integrados interface de gerenciamento base do Active Directory. Nos domnios do Windows 2000, a autenticao pode ser obtida atravs do protocolo Kerberos predefinido. Portanto, as infra-estruturas dos certificados no precisam ser implantadas para proteger clientes, servidores de arquivos ou UOs de segurana (um grupo de computadores em uma unidade organizacional [UO] do Active Directory com a finalidade de segurana). Em situaes de acesso remoto/VPN/roteador a roteador, os certificados de chave pblica devem ser usados para autenticao (ou chaves pr-compartilhadas, no caso de roteador a roteador). Em geral, as comunicaes pela Intranet requerem nveis inferiores de segurana do que as comunicaes de rede pblica: sem confidencialidade; sem encapsulamento; permisso de comunicaes no seguras. Isso vai acelerar a taxa de transferncia das comunicaes, permitindo ainda algum nvel de segurana: integridade e autenticao. As comunicaes IPSec podem ser acionadas, aceitas ou impostas entre qualquer conjunto de computadores ou individualmente. Se os dados forem muito confidenciais, fcil forar um computador a aceitar somente comunicaes de IPSec.

Documento tcnico
PGINA 68

Plataforma Windows

Em geral, j que o encapsulamento adequado a nveis altos de segurana, as regras de IPSec que especificam o encapsulamento tambm devem ter um alto nvel de segurana nas diretivas de negociao. Os dados vo estar trafegando, na verdade, em uma rede pblica e, portanto, a confidencialidade (ESP) em geral garantida. Como os pacotes so encapsulados, o que protege o cabealho inicial, no necessrio se associar ESP a AH para obter proteo de endereamento (cabealho).

Definindo nveis de segurana

A implementao de IPSec requer um equilbrio entre tornar as informaes facilmente disponveis para o maior nmero de usurios e proteger informaes crticas contra modificao e interpretao no autorizadas. As estruturas de segurana IP e do Windows 2000 devem ser analisadas durante o planejamento: Avalie os nveis de risco para determinar o nvel adequado de segurana necessrio. Determine as informaes que devem ser criptografadas e o que deve ser protegido contra modificao. Defina diretivas de acordo com critrios de risco e proteja as informaes categorizadas. As consideraes sobre diretivas tambm so influenciadas pela funo dos computadores aos quais elas se aplicam: ser usada uma segurana diferente para controladores de domnio, servidores da Web, servidores de acesso remoto, servidores de arquivos, servidores de bancos de dados, clientes da intranet e clientes remotos. A IPSec pode se tornar ineficiente rapidamente se no houver o planejamento e avaliao cuidadosos das diretrizes de segurana e o design e atribuio adequados das diretivas. Antes de criar as diretivas de IPSec, voc deve definir: o que deve ser protegido como proteg-lo onde proteg-lo quem vai gerenciar as diretivas se as exigncias de exportao so uma questo a ser considerada Os nveis de segurana a seguir so recomendados como diretrizes na implementao da estrutura geral de segurana do Windows 2000. Para maior clareza, os nveis de segurana de IPSec correspondero a essa lista. Segurana mnima Segurana padro Segurana alta Nveis mnimos de segurana: Como padro, a IPSec no ativada. Se o plano de segurana no exigir nenhuma proteo em determinadas situaes, nenhuma ao administrativa necessria. Nveis padro de segurana: No h uma definio exata dos nveis padro de segurana. Eles podem variar bastante, dependendo das diretivas e da infra-estrutura da organizao. A IPSec vai tentar atender a essa exigncia ambgua com: Diretivas e regras padro

Documento tcnico
PGINA 69

Plataforma Windows

 Servios de confidencialidade so fornecidos como uma opo e, portanto, os servios de proteo esto automaticamente em um nvel padro. Como padro, as configuraes ISAKMP, algoritmos de autenticao e de integridade, encapsulamento e nova gerao de chaves so definidos no nvel padro. Em geral, as comunicaes pela intranet exigem nveis mais baixos de segurana do que as comunicaes pela Internet, WAN ou redes externas: sem confidencialidade; sem encapsulamento; permisso de comunicaes no seguras. Isso vai acelerar a taxa de transferncia das comunicaes pela intranet, permitindo ainda algum nvel de segurana: integridade e autenticao. Nveis altos de segurana: Um nvel alto adequado para situaes dial-up remotas, comunicaes WAN ou qualquer comunicao entre redes externas. As comunicaes de redes particulares no devem ser excludas automaticamente; em alguns casos uma segurana alta pode ser garantida para a intranet. Novamente, no h uma definio exata pelos mesmos motivos, e a IPSec atende a esses critrios com: Servios de confidencialidade para criptografar dados Sigilo perfeito de roteamento, durao configurvel das chaves, limites Quick Mode, grupos Diffie-Hellman configurveis e algoritmos extremamente resistentes (3DES e SHA). Encapsulamento para qualquer tipo de conexo de rede. A capacidade de associar ESP a AH para fornecer o nvel mais alto de proteo: integridade de pacote e privacidade de dados. Lembre-se de que nem todos os ataques vm de fora das redes corporativas. Se for exigida uma segurana extremamente alta para uma intranet, encapsulamento deve ser usado, alm das diretivas de negociao de alta segurana. Quando os dados so extremamente confidenciais, no deve ser ativada a comunicao no protegida com um host que no reconhece IPSec, mesmo que o host esteja na mesma rede, pois isso no garante que os dados estejam protegidos. Em geral, como o encapsulamento adequado a nveis altos de segurana, as regras de IPSec que especificam o encapsulamento tambm devem ter um alto nvel de segurana nas diretivas de negociao. Os dados estaro trafegando, na verdade, pela Internet e, portanto, os servios de confidencialidade (ESP) esto geralmente garantidos.

Kerberos
Nesse release do Windows 2000, a verso 5 do Kerberos o principal protocolo de segurana. O Kerberos verifica tanto a identidade do usurio como a integridade dos dados da sesso. Os servios Kerberos esto instalados em cada controlador de domnio, e um cliente Kerberos instalado em cada estao de trabalho e servidor do Windows 2000. A autenticao Kerberos inicial do usurio garante ao usurio um nico logon aos recursos da empresa.

Documento tcnico
PGINA 70

Plataforma Windows

Alm de melhorar a segurana, o Kerberos permite: Relaes de confiana transitiva para autenticao entre domnios As credenciais de autenticao emitidas por um servio Kerberos so aceitas por todos os servios Kerberos dentro da rvore do domnio. Alm disso, as credenciais emitidas por um servio Kerberos em uma floresta de rvores de domnio so aceitas por todos os servios Kerberos da floresta. Autenticao mtua de cliente e servidor Tanto o cliente como o servidor so autenticados em uma sesso Kerberos. Processos eficientes de autenticao O Windows 2000 Server pode verificar as credenciais do cliente sem consultar o servio Kerberos no controlador de domnio. A implementao do Kerberos no Windows 2000 compatvel com qualquer outra implementao da verso 5 do Kerberos que seja compatvel com IETF RFCs 1510 e 1964. Os clientes e servidores do Windows 2000 podem autenticar e, portanto, se comunicar com vrias outras plataformas que implementam o pacote de autenticao Kerberos.

Autenticao delegada para transaes cliente/servidor de vrias camadas

Em algumas arquiteturas de aplicativos, uma transao de cliente precisa transitar em diversos servidores. Nesse caso, o servidor atual pode autenticar para o servidor solicitado em nome do cliente.

Termos do Kerberos
Authentication Server, Ticket Granting Ticket Server, Key Distribution Center: A documentao do Kerberos (RFC 1510) se refere a um Authentication Server (AS, servidor de autenticao), um Ticket-Granting Server (TGS, servidor de concesso de tickets) e um Key Distribution Center (KDC, centro de distribuio de chaves). O KDC um servio de rede que fornece tickets e chaves temporrias de sesso. O KDC atende aos pedidos de ticket inicial e de ticket de concesso de tickets. A parte de ticket inicial , s vezes, conhecida como AS. A parte de ticket de concesso de tickets , s vezes, conhecida como TGS. Portanto, o KDC tanto AS como TGS, conforme RFC 1510. Privileged Attribute Certificate (PAC, certificado de atributos privilegiados): O PAC uma estrutura que contm a SID do usurio e as GIDs universais, globais e locais aos quais pertence. Ticket, ticket de concesso de tickets: Em uma troca Kerberos bsica, o cliente envia primeiro um pedido para o AS para solicitar um ticket de concesso de tickets que ser usado para solicitar um ticket do TGS para o servidor de destino. Um ticket um registro que ajuda o cliente a se autenticar para um servidor. Ele contm a identidade do cliente, o PAC, uma chave de sesso, uma marca de data e hora e outras

Documento tcnico
PGINA 71

Plataforma Windows

informaes, tudo isso criptografado atravs da chave secreta do servidor. Portanto, s o servidor que conhece essa chave secreta pode decodificar o ticket. O ticket obtido de um KDC e passado ao servidor de destino para autenticao. Normalmente, um Ticket-Granting Ticket (TGT, ticket de concesso de tickets) obtido durante o incio de uma sesso de logon (em uma troca de AS). O TGT inclui informaes do PAC para o usurio e ser usado para obter credenciais para outros servidores (p. ex.: servidores de arquivos) sem necessitar do uso adicional da chave secreta do cliente. O TGT criptografado na chave secreta do KDC e no pode ser descriptografado pelo cliente para evitar que ele altere as informaes de associao a grupos contidas no PAC.

Kerberos e o tempo
Devido natureza sensvel ao tempo do protocolo Kerberos, vantajoso sincronizar os relgios do sistema. Tanto os clientes como os controladores de domnio vo sincronizar automaticamente o tempo usando o SNTP (Secure Network Time Protocol, protocolo de tempo de rede segura). Um cliente do Windows 2000 vai obter o tempo do sistema de um controlador de domnio durante o logon e as renovaes subseqentes de ticket. Os controladores de domnio tambm sincronizam o tempo de forma hierrquica dentro do Active Directory. A raiz da estrutura do SNTP ser, como padro, o mestre de denominao do domnio da floresta. O Windows 2000 vai incluir uma interface de usurio para configurao de parmetros SNTP e mestres de tempo adicionais.

Autenticao Kerberos: logon de domnio

O KDC pode ser executado em todos os controladores de domnio do Windows 2000 e consiste em um AS (Authorization Service, servio de autorizao) e um TGS (Ticket Granting Service, servio de concesso de tickets). Esses dois servios agem juntos para fornecer TGT (Ticket Granting Tickets, tickets de concesso de tickets) e tickets de sesso para autenticao. Quando um cliente efetua logon inicialmente no domnio do Windows 2000, duas etapas bsicas vo estar envolvidas. O cliente vai solicitar e receber um ticket de concesso de tickets a partir do KDC. O cliente vai submeter esse TGT ao KDC e receber subseqentemente um ticket de sesso para autenticao para o LSA local.

Documento tcnico
PGINA 72

Plataforma Windows

Ped AS (Nome, Domnio, Servidor) Resp AS (Ticket Granting Ticket [TGT]) Ped TGS (TGT, Nome, Domnio, Servidor) Resp TGS (Chave da estao de trab) Cliente
n

KDC

Figura 34

Todos os controladores de domnio do Windows 2000 so executados como KDCs Kerberos. Antes de efetuar logon, o sistema cliente vai primeiro localizar um controlador de domnio antes de prosseguir. Como a estao de trabalho faz parte de um domnio, isso geralmente ocorre quando o canal seguro criado e um controlador de domnio j conhecido. As trocas de AS e TGS com o KDC so enviadas atravs da porta 88 UDP. As trocas entre o cliente e o servidor de destino dependem do protocolo ponto a ponto usado por esses componentes. O cliente envia um pedido de AS inicial ao KDC, fornecendo o nome do usurio e o do domnio. Esse um pedido de autenticao e um TGT. O KDC gera uma resposta de AS contendo um TGT criptografado com a chave secreta do KDC e uma chave de sesso para trocas de TGS criptografadas na chave secreta do cliente. O PAC est contido na parte de dados de autorizao do TGT. O KDC criptografa o TGT com a sua prpria chave privada para evitar que o cliente altere as informaes de associao ao grupo. Essa resposta enviada de volta para o cliente. Para autenticar um usurio que efetua logon em um sistema local, o TGT obtido na troca de AS usado na troca de TGS para obter credenciais para um sistema local. Isso significa que o usurio que est efetuando logon precisa ter direitos para trabalhar no sistema local. O cliente gera e envia um pedido de TGS contendo o nome principal do cliente (= nome do usurio) e o ambiente, o TGT (a partir da troca de AS) para identificar o cliente e o nome da estao de trabalho local como servidor de destino. Ele tambm inclui um autenticador. Dessa forma, o usurio est solicitando acesso mquina local. O KDC gera e envia uma resposta de TGS contendo um ticket para a estao de trabalho criptografada na chave privada do cliente e outras informaes (p. ex.: uma marca de data e hora) criptografadas usando-se a chave da sesso do TGT. Tambm est includo na parte de dados de autorizao do ticket o PAC copiado pelo KDC a partir do TGT original. A partir das informaes includas no PAC, o LSA do lado do cliente vai criar um token de acesso para o usurio.

Autenticao Kerberos: acesso aos recursos

Para que um cliente possa acessar um recurso em um servidor de destino, o cliente deve

Documento tcnico
PGINA 73

Plataforma Windows

solicitar um ticket vlido para o servidor de destino a partir do KDC.

Ped TGS (TGT, Nome, Servidor, Domnio)

Resp TGS (TGS, PAC) Cliente KDC

Ped AP (TGS, Autenticador)

Resp AP (Chave de sesso, Tempo) [opcional]

Servidor de destino

Figura 35

Pedido de TGS: Para solicitar o ticket vlido para o servidor de destino, o cliente envia um pedido de TGS para o KDC que inclui o TGT obtido durante o logon inicial, o nome do cliente (=usurio) e o nome do servidor de destino. Resposta de TGS: O KDC responde com um ticket para o servidor de destino e uma chave de sesso a ser usada entre o cliente e o servidor de destino. O PAC includo nos dados de autenticao desse ticket. Tanto a chave da sesso como o ticket so criptografados. Pedido de AP: Depois de obter um ticket vlido para o servidor de destino, o cliente envia um Application Request (AP, pedido de aplicativo) ao servidor de destino. O pedido AP contm o ticket do servidor e um autenticador a ser usado entre o cliente e o servidor de destino. O servidor de destino ento descriptografa o ticket e o autenticador, e verifica se essa mensagem no uma reproduo. Resposta de AP: A resposta de AP s contm a hora atual criptografada com a chave da sesso para informar ao cliente que ela foi validada no servidor de destino.

Documento tcnico
PGINA 74

Plataforma Windows

Autenticao Kerberos entre ambientes

As fronteiras de um ambiente Kerberos so idnticas s de um domnio do Windows 2000. A autenticao entre ambientes pode ser declarada como acesso aos recursos de outros domnios. O processo de acesso entre ambientes bastante semelhante ao do acesso dentro de um ambiente, exceto que o KDC do cliente vai remeter o cliente para KDCs de outros ambientes, que seguem a confiana explcita estabelecida para o ambiente de destino.

Supermercado.com KDC

4 3 2 1 jusurio NE.Supermercado.com KDC 1 7 8 5 6 Jos KDC

SE.Supermercado.com

Figura 36

Por exemplo, jusurio deseja acessar Jos no ambiente SE (domnio). O processo para se obter esse acesso : 1) jusurio envia TGS_REQ para KDC de NE 2) O KDC de NE responde com a chave de sesso para Supermercado 3) jusurio envia TGS_REQ para o KDC da Supermercado com informaes de destino 4) O KDC da Supermercado responde com a chave de sesso para SE. 5) jusurio envia TGS_REQ para KDC de SE com informaes de destino 6) O KDC de SE responde com TGT e dados de autorizao para Jos 7) jusurio envia AP_REQ para Jos com TGT e dados de autorizao 8) Jos responde com autenticador (opcional) *O mesmo ticket de sesso usado para acessar Jos As confianas Kerberos do Windows 2000 so transitivas dentro do campo de ao de uma floresta. Contudo, as confianas no estabelecem necessariamente uma relao direta entre todos os domnios. Em vez disso, os clientes recebero TGTs para ambientes pai que, por sua vez, fornecem um caminho para o destino. No caso ilustrado aqui, uma enorme quantidade de acesso entre NE.Supermercado.com e SE.Supermercado.com pode justificar a criao explcita de uma confiana Kerberos entre dois domnios. Assim que um ticket for obtido para acesso a um recurso, o cliente pode usar esse ticket at a sua expirao (normalmente dez horas).

Documento tcnico
PGINA 75

Plataforma Windows

Interoperabilidade Kerberos
H duas formas em que o Windows 2000 pode funcionar com KDCs baseados em Kerberos MIT. 1. Primeiro, a estao de trabalho do Windows 2000 pode ser configurada para usar um KDC Unix. Os usurios podem efetuar logon no Windows 2000 usando uma conta definida no KDC Unix. Isso igual ao suporte de estao de trabalho Unix para logon Kerberos. Qualquer aplicativo do Windows 2000 ou Unix que s requer autenticao baseada em nomes pode usar um KDC Unix como servidor Kerberos. 2. A segunda forma em que o Windows 2000 funciona com Kerberos MIT atravs de confiana entre um ambiente Unix e um domnio do Windows 2000. A confiana entre ambientes a melhor forma de se oferecer suporte aos servios do Windows 2000 que usam a personificao e controle de acesso. Contudo, os clientes do Windows 2000 no podem usar um KDC Unix para autenticao no Active Directory. O modelo de segurana distribuda do Windows 2000 depende em mais do que uma lista de SIDs para autorizao de dados em tickets Kerberos, e esses protocolos vo bem alm dos servios de autenticao fornecidos pelo servidor Kerberos MIT.

Planejamento de Kerberos
O uso de Kerberos nativo dentro do Windows 2000 requer pouco planejamento alm da implementao de extenses de cliente nas mquinas com o Windows 95 e Windows 98. Contudo, caso alguma forma de interoperabilidade de Kerberos seja exigida em ambientes externos, isso deve ser planejado na etapa inicial da implantao. Quanto a isso, deve ser permitida uma integrao de PKI com o esquema de autenticao. Alm disso, deve-se planejar passar a Porta 88 atravs de qualquer firewall para realizar a replicao de confiana entre os ambientes.

Reviso
A segurana no Active Directory precisa achar um equilbrio entre tornar os dados facilmente acessveis e, ao mesmo tempo, proteg-los. Esta seo analisou os conceitos de segurana do Windows 2000, como controle de acesso e herana. Tambm explicou os mecanismos de segurana fornecidos com o Windows 2000 e apresentou uma anlise de como se deve planejar a infra-estrutura de segurana.

Grupos
O melhor mtodo de se aplicar as diretivas de segurana atravs do gerenciamento eficiente de contas. Os grupos de segurana do Windows 2000 representam o terceiro princpio de segurana e so a base da relao entre os usurios e a segurana.

A forma mais eficiente de se administrar a segurana atribuir direitos e permisses aos grupos de segurana em vez de a usurios ou computadores individuais. Em geral, um usurio ou computador precisa acessar diversos recursos. Se o usurio ou computador for

Documento tcnico
PGINA 76

Plataforma Windows

membro de um grupo com acesso aos recursos, voc pode controlar o acesso, acrescentando ou removendo o usurio ou computador do grupo, em vez de alterar as permisses do recurso. Definir permisses para um usurio ou computador individual no altera as permisses concedidas ao usurio ou computador atravs dos grupos aos quais o usurio pertence. Basear as diretivas de segurana e o gerenciamento de contas em grupos, em vez de em usurios ou computadores, reduz o custo de propriedade. A administrao no nvel da conta ou do recurso pode ento ser limitada a casos excepcionais.

Estruturas de segurana
Os grupos fornecem um mecanismo eficiente para a criao de estruturas de segurana no Windows 2000, enquanto as estruturas de segurana so uma hierarquia administrativa usada para reduzir o nmero de itens a serem administrados individualmente. As estruturas de segurana podem ser usadas para associar usurios a grupos e esses grupos a outros grupos que so gerenciados por agrupamentos administrativos. Por exemplo, um determinado conjunto de usurios pode estar contido dentro de um grupo denominado Usurios do escritrio. Esse grupo pode ser usado para atribuir um determinado ambiente de rea de trabalho atravs de diretivas. Outro grupo denominado Todos os usurios pode incluir o grupo Usurios do escritrio, alm de outros para facilitar a aplicao de definies globais em usurios. O grupo Todos os usurios pai dessa determinada estrutura de segurana, mas tambm pode ser gerenciado por outra estrutura de segurana composta de grupos de tipo de administrador. A finalidade das estruturas de segurana classificar e agrupar regras de segurana da mesma forma que devem ser administradas.

Utilizao de grupos
Os grupos tambm podem pertencer a outros grupos. Voc pode usar isso para criar um intervalo adequado de contextos de grupo para avaliao dos direitos. Por exemplo, pode haver um grupo Produo que engloba responsabilidades de fabricao, empacotamento e envio. Voc pode criar os grupos Fabricao, Envio e Produo, atribuir direitos adequados a cada um deles e fazer com que todos eles pertenam ao grupo Produo. Os direitos que voc atribui ao grupo Produo so aplicados a todos os seus grupos membros. Para implementar uma estratgia baseada em grupos: Crie grupos de segurana abrangente. Atribua direitos aos grupos antes de criar contas de usurios ou computadores. Delegue a administrao dos grupos ao gerente ou lder de grupo adequado. O tipo de grupo usado para gerenciar contas e recursos determina parcialmente como as diretivas de segurana vo ser aplicadas. O Windows 2000 Server introduz grupos novos e mais funcionais cada um tem mais funes diferentes e campo de ao. H trs tipos de grupos de segurana dentro do Active Directory: Grupos globais: Os grupos globais s contm usurios do domnio local, mas podem ser

Documento tcnico
PGINA 77

Plataforma Windows

usados em qualquer lugar. Portanto, se membros de um grupo devem estar limitados a um nico domnio, mas o acesso aos recursos globais exigido, use grupos globais. Grupos locais de domnio: Os grupos locais de domnio tambm contm membros de qualquer domnio, mas s podem ser usados no domnio onde so criados. Os grupos locais de domnio so, portanto, bem adequados ao acesso aos recursos do domnio local que requerem associao global. Grupos universais: Os grupos universais podem conter membros de qualquer domnio e so usados para atribuir direitos de acesso aos recursos. As sees a seguir fornecem distines entre os tipos de grupos qualidades e limitaes bem como recomendaes de uso.

Grupos globais
Os grupos globais so os membros mais versteis da famlia de grupos e tm os seguintes atributos: S podem conter membros do domnio onde foram criados. Os membros podem incluir contas de usurios e outros grupos globais do mesmo domnio. Podem ser eles mesmos membros de grupos universais e de grupos locais de domnio. Esses atributos proporcionam um uso claro dos grupos globais. Considerando-se que a associao limitada, os grupos globais devem ser usados para definir grupos, cuja associao vai estar sempre limitada aos seus prprios domnios.
Supermercado Grupo global Admins Supermercado
suadmin ssadmin

Fabricao Grupo global Admins Fabricao

fusurio fadmin

Distribuio Grupo global Admins Distribuio

dusurio dadmin

Figura 37: Associao a grupo global

Por exemplo, esses grupos globais foram criados nos domnios Supermercado, Fabricao e Distribuio com a inteno expressa de s permitir a associao das suas respectivas

Documento tcnico
PGINA 78

Plataforma Windows

contas de domnio. A associao limitada reduz o nmero de problemas de segurana que normalmente surgiriam nesse tipo de situao onde as contas de domnios externos no autorizadas so acrescentadas intencional ou inadvertidamente aos grupos globais. Os grupos globais so bem adequados criao de estruturas de segurana dentro de um domnio, pois podem ser aninhados, mas somente dentro do domnio onde foram criados. Ao se incrementar o exemplo anterior, o grupo global Admins Fabricao pode conter outros grupos globais do domnio de fabricao, como Admins SQL. Usar grupos globais dessa forma fornece uma base para cada controle de acesso granular e atribuio de permisses.
Fabricao Grupo global Admins Fabricao
fusurio fadmin

Grupo global
m2usurio m2admin

Admins SQL

Figura 38: Aninhamento de grupos globais

Usar grupos globais dessa forma fornece uma base para cada controle de acesso granular e atribuio de permisso. O aspecto global dos grupos globais vem na sua prpria utilizao. Um grupo global pode ser membro de qualquer outro tipo de grupo de segurana e, portanto, incrementando o conceito das estruturas de segurana. Isso significa que podem ser usados para a atribuio de permisses diretas aos recursos fora do domnio, alm de serem includos nos grupos universais ou locais de qualquer domnio.

Grupos locais de domnio

Os grupos locais de domnio so a anttese dos grupos globais, pois eles podem conter membros de qualquer outro tipo e de qualquer domnio, mas s podem ser endereados localmente. Como os grupos globais, os grupos locais de domnio podem conter outros grupos locais de domnio, mas somente do seu prprio domnio. Esses atributos tornam os grupos locais de domnio bem adequados para limitar o campo de ao da sua utilizao, enquanto permitem a associao de qualquer domnio. Incrementando o conceito de estruturas de segurana apresentado na utilizao dos grupos globais, um uso adequado dos grupos locais de domnio seria o de servir como raiz da estrutura de segurana.

Documento tcnico
PGINA 79

Plataforma Windows

Supermercado Grupo local de domnio Admins Supermercado

Fabricao Grupo global Admins Fabricao

fusurio fadmin

Distribuio Grupo global Admins Distribuio

dusurio dadmin

Figura 39: Utilizao dos grupos locais de domnio

Na figura anterior, o grupo Admins Supermercado foi criado com a inteno de ter associao global e permisses atribudas aos recursos dentro do domnio Supermercado. Esse um grupo agregado de forma eficiente que contm os grupos globais dos domnios filho. O grupo local de domnio Admins Supermercado nesse caso s pode ser acessado a partir do domnio Supermercado.

Grupos universais
Os grupos universais so muito semelhantes aos grupos locais de domnio, pois podem conter contas de usurios, grupos universais e grupos globais de qualquer outro domnio. Contudo, os grupos universais tambm podem ser acessados de qualquer domnio, tornando-os muito flexveis. Novamente, para usar os exemplos anteriores, os grupos universais seriam usados para criar a estrutura, mas agora a estrutura pode se basear em qualquer nvel, at mesmo dentro do seu prprio domnio.

Documento tcnico
PGINA 80

Plataforma Windows

Supermercado Admins Supermercado Grupo local de domnio

Grupo universal Todas as admins

Fabricao Grupo global Admins Fabricao

fusurio fadmin

Figura 40: Utilizao de grupos universais

No exemplo anterior, o grupo universal contm os grupos globais e locais de domnio, mas podem ser acessados de qualquer um dos domnios. Alm disso, o grupo universal Todas as admins pode estar contido em outro grupo universal em qualquer um dos domnios. Da mesma forma, os prprios grupos universais podem agir como membros de qualquer outro tipo de grupo, o que fornece um mecanismo para estruturas de grupo muito complexas.

Consideraes sobre design

Os grupos de segurana devem ser usados como um fundamento para o gerenciamento de contas do usurio e a segurana distribuda. O planejamento e implementao corretos dos grupos ter uma papel importante na reduo do custo total de se administrar um sistema distribudo. Enquanto o enfoque at agora esteve na utilizao dos grupos para ajudar a administrao dos recursos, os grupos tambm fornecem um excelente mecanismo para se administrar os prprios usurios. Agrupar usurios semelhantes em classificaes para administrao vai permitir que tarefas trabalhosas, como distribuio de software e aplicao de diretivas, sejam feitas de forma mais rpida. Esse aspecto dos grupos vai ser abordado em detalhe mais adiante na seo sobre planejamento das diretivas de grupo. As informaes a seguir so teis no planejamento de grupos e de diretivas de grupos. Um controlador de domnio requer conhecimento global das associaes de grupo para calcular todos os grupos (direta ou indiretamente) que contm. Com os grupos universais, o controlador de domnio usa o catlogo global para realizar esse clculo de associao. Como o controlador de domnio usa o catlogo global para calcular as associaes de

Documento tcnico
PGINA 81

Plataforma Windows

grupos universais, o catlogo global deve conter todas as associaes de grupos universais. Mas se todos os grupos so grupos universais, as associaes de grupos universais vo ser alteradas com bastante freqncia, gerando um alto nvel de trfego de replicao do catlogo global. Um escritrio de mdio porte talvez no seja capaz de sustentar a largura de banda da rede necessria para que o catlogo global fique atualizado. Quando voc efetua logon em um servidor de recursos, um controlador de domnio no domnio de conta calcula o conjunto de todos os grupos aos quais voc pertence que podem ser usados para controlar o seu acesso ao servidor de recursos. Esse conjunto inclui todos os grupos universais aos quais voc pertence. Geralmente, s uma frao dos grupos aos quais voc pertence ser usada para controlar o acesso em qualquer servidor de recursos especfico. Local de domnio: Entrando em detalhes, os grupos locais de domnio no so replicados como parte do NC do domnio e, portanto, geram menos sobrecarga de replicao.

Atributo Associao Pode conter Atribuio de permisses Aninhamento Pode ser atualizado

Global Limitado Usu/Global Aberto Limitado Para universal

Local de domnio Aberto Usu,Univ,Global Limitado Limitado Para universal

Universal Aberto Usu,Univ,Global Aberto Aberto no

* Associao: O campo de ao da associao (limitado = domnio local de objeto somente; Aberto = objetos de qualquer domnio). Pode conter: Tipos de objetos que podem pertencer a esse grupo. Atribuio de permisses: O campo de ao onde esse domnio pode ser acessado (limitado = s pode ser usado no domnio criado). Aninhamento: A capacidade do grupo de conter o seu prprio tipo de grupo (limitado = dentro do seu prprio domnio somente). Pode ser atualizado: A capacidade de um grupo de ser alterado (atualizado) para outro grupo.

Restries de modo misto

Enquanto estiver operando em modo misto, h poucas restries em relao funcionalidade dos grupos. Geralmente, essas restries esto relacionadas a fornecer compatibilidade retroativa ao Windows NT 4.0 e esto associadas ao aninhamento. No modo misto: Os grupos universais no existem como um grupo de segurana. Os grupos globais s podem conter contas e no podem ser aninhados. Os grupos locais de domnio podem conter contas e grupos globais, mas no podem ser aninhados. Essas restries no se aplicam mais quando o domnio convertido para o modo nativo.

Reviso
Compreender as propriedades e implicaes dos diversos tipos de grupos do Windows 2000 essencial ao se planejar a hierarquia e as funes administrativas. Revendo: os grupos so unidades administrativas e podem ser globais, locais de domnio ou universais. Os grupos globais s podem conter usurios do domnio local, mas podem ser usados em qualquer lugar. Os grupos locais de domnio tambm podem conter membros de qualquer

Documento tcnico
PGINA 82

Plataforma Windows

domnio, mas s podem ser usados no domnio onde foram criados. Os grupos universais podem conter membros de qualquer domnio e so usados para atribuir direitos de acesso aos recursos. Como voc usa grupos para administrar e implementar as diretivas de segurana da sua organizao, necessrio compreender bem os grupos e certificar-se de que eles sejam bem planejados.

Documento tcnico
PGINA 83

Plataforma Windows