Você está na página 1de 16

Mdulo 1: Introduo ao Active Directory no Windows Server 2003

Introduo ao Active Directory no Windows Server 2003


Viso Geral
Introduo ao Active Directory Estrutura Lgica do Active Directory Estrutura Fsica do Active Directory Mtodos para a Administrao de uma Rede Windows Server 2003

Em uma rede Microsoft Windows Server 2003, o servio de diretrio Active Directory fornece a estrutura e as funes para organizar, gerenciar e controlar recursos de rede. Para implementar e administrar uma rede Windows Server 2003, voc deve compreender o propsito e a estrutura do Active Directory. O Active Directory tambm fornece a capacidade de gerenciar centralmente sua rede Windows Server 2003. Esta capacidade significa que voc pode armazenar centralmente informaes sobre a empresa e os administradores podem gerenciar a rede a partir de uma nica localizao. O Active Directory suporta a delegao de controle administrativo sobre os seus objetos. Esta delegao permite que os administradores atribuam permisses administrativas especficas para objetos, como contas de usurio ou computador, para outros usurios e administradores. Depois de completar este mdulo, voc ser capaz de: Descrever a funo do Active Directory. Descrever a estrutura lgica do Active Directory. Descrever a estrutura fsica do Active Directory. Descrever os mtodos para a administrao de uma rede Windows Server 2003.

Multimdia: Conceitos do Active Directory no Windows Server 2003


Esta apresentao multimdia descreve conceitos bsicos do Active Directory, como unidades organizacionais (UOs), rvores, florestas, convenes de nomenclatura DNS e sites.

Introduo ao Active Directory


O Que Active Directory? Objetos do Active Directory Esquema do Active Directory Protocolo Leve de Acesso a Diretrio (LDAP, Lightweight Directory Access Protocol) O Active Directory armazena informaes sobre recursos em toda a rede e torna aos usurios mais fcil localizar, gerenciar e utilizar estes recursos. O Active Directory constitudo de mltiplos componentes. Voc deve entender os componentes e como utilizlos para administrar o Active Directory.

O Que Active Directory?


-1-

Mdulo 1: Introduo ao Active Directory no Windows Server 2003

Directory Directory Service Service Functionality Functionality


Organize Organize Manage Manage Control Control

Centralized Centralized Management Management


Single Single point point of of administration administration

Resources Resources

Full Full user user access access to to directory directory

resources resources by by a a single single logon logon

Active Directory o servio de diretrio em uma rede Windows Server 2003. Um servio de diretrio um servio de rede que armazena informaes sobre recursos da rede e torna os recursos acessveis a usurios e aplicativos. Servios de diretrios fornecem uma forma consistente de nomear, descrever, localizar, acessar, gerenciar e proteger informaes sobre estes recursos. Funcionalidade do Servio de Diretrio O Active Directory fornece funcionalidade de servio de diretrio, incluindo um meio de organizar, gerenciar e controlar o acesso centralmente aos recursos de rede. O Active Directory torna a topologia de rede fsica e os protocolos transparentes de forma que um usurio em uma rede possa obter acesso a qualquer recurso sem saber onde o recurso est ou como ele est fisicamente conectado rede. Um exemplo deste tipo de recurso seria uma impressora. O Active Directory organizado em sees que permitem o armazenamento de um grande nmero de objetos. Como resultado, o Active Directory pode expandir conforme uma organizao cresce, de forma que uma organizao que tenha um nico servidor com centenas de objetos possa crescer para ter milhares de servidores e milhes de objetos. Gerenciamento Centralizado Um servidor executando o Windows Server 2003 armazena a configurao do sistema, os perfis de usurio e a informao no Active Directory. Combinado com a Diretiva de Grupo, o Active Directory permite que administradores gerenciem reas de trabalho distribudas, servios de rede e aplicativos a partir de um local central enquanto utiliza uma interface de gerenciamento consistente. O Active Directory tambm fornece o controle de acesso centralizado a recursos de rede permitindo que usurios efetuem o logon apenas uma vez para obterem acesso a recursos atravs do Active Directory.

-2-

Mdulo 1: Introduo ao Active Directory no Windows Server 2003

Objetos do Active Directory


Objects Objects Attributes Attributes Printer Printer Name Name Printer Printer Location Location Users Don Hall Suzan Fine Active Active Directory Directory Printers Printer1 Printer2 Printer3 Attributes Attributes First First Name Name Last Last Name Name Logon Logon Name Name Attribute Attribute Value Value

Printers Printers

Users Users

Objects Represent Network Resources Attributes Store Information About an Object

O Active Directory armazena informaes sobre os objetos de rede. Os objetos do Active Directory representam recursos de rede, como usurios, grupos, computadores e impressoras. Alm disto, todos os servidores, domnios e sites na rede tambm so representados como objetos. Pelo fato do Active Directory representar todos os recursos de rede como objetos em um banco de dados distribudo, um nico administrador pode gerenciar e administrar centralmente estes recursos. Quando voc cria um objeto, as propriedades, ou atributos deste objeto armazenam as informaes que descrevem o objeto. Os usurios podem localizar os objetos atravs do Active Directory pesquisando por atributos especficos. Por exemplo, um usurio pode localizar uma impressora em um local especfico pesquisando pelo atributo Localizao (Location) da classe de objeto da impressora.

Esquema do Active Directory


O esquema do Active Directory contm as definies de todos os objetos, como computadores, usurios e impressoras que esto armazenados no Active Directory. No Windows Server 2003, existe apenas um esquema para uma floresta inteira, de forma que todos os objetos criados no Active Directory obedecem s mesmas regras. Os dois tipos de definies no esquema so classes de objetos e atributos. Classes de objetos descrevem os objetos de diretrio possveis de serem criados. Cada classe de objeto uma coleo de atributos. Atributos so definidos separadamente a partir de classes de objetos. Cada atributo definido apenas uma vez e pode ser utilizado em mltiplas classes de objetos. Por exemplo, o atributo Descrio utilizado em muitas classes de objetos, mas definido apenas uma vez no esquema para garantir a consistncia.

-3-

Mdulo 1: Introduo ao Active Directory no Windows Server 2003

Objects Objects Class Class Examples Examples

Active Directory Schema Is: Dynamically Available Dynamically Updateable Protected by DACLs Attribute Attribute Examples Examples
Attributes Attributes of of Users Users Might Contain: Might Contain:
accountExpires accountExpires department department distinguishedName distinguishedName middleName middleName

Computers Computers

List List of of Attributes Attributes


accountExpires accountExpires department department distinguishedName distinguishedName directReports directReports dNSHostName dNSHostName operatingSystem operatingSystem repsFrom repsFrom repsTo repsTo middleName middleName

Users Users

Printers Printers

O banco de dados do Active Directory armazena o esquema. Armazenar o esquema em um banco de dados significa que o esquema: Est dinamicamente disponvel aos aplicativos de usurio, o que significa que outros aplicativos de usurio podem ler o esquema para descobrir que objetos e propriedades esto disponveis para utilizao. dinamicamente atualizvel, o que permite que um aplicativo estenda o esquema com novos atributos e classes de objetos e ento utilize estas extenses de esquema imediatamente. Pode utilizar listas de controle de acesso discricionrio (DACLs, discretionary access control lists) para proteger todas as classes de objetos e atributos. A utilizao de DACLs permite que apenas usurios autorizados faam alteraes no esquema.

Protocolo Leve de Acesso a Diretrio (LDAP, Lightweight Directory Access Protocol)


O LDAP Fornece uma Forma de Comunicar com o Active Directory Especificando Caminhos de Nomenclatura Exclusivos para Cada Objeto no Active Directory Os Caminhos de Nomenclatura do LDAP Incluem Nomes distintos CN=Suzan Fine,OU=Vendas,DC=contoso,DC=msft Nomes distintos relativos O Protocolo Leve de Acesso a Diretrio (LDAP, Lightweight Directory Access Protocol) um protocolo de servio de diretrio que utilizado para consultar e atualizar o Active Directory. A especificao do protocolo LDAP especifica que um objeto do Active Directory pode ser representado por uma srie de componentes do domnio, UOs nomes comuns, que criam um caminho de nomenclatura LDAP dentro do Active Directory. Os caminhos de nomenclatura do LDAP so utilizados para acessar os objetos do Active Directory e incluir o seguinte: -4-

Mdulo 1: Introduo ao Active Directory no Windows Server 2003

Nomes distintos Nomes distintos relativos Nome Distinto Cada objeto no Active Directory tem um nome distinto. O nome distinto identifica o domnio onde o objeto est localizado e o caminho completo pelo qual o objeto alcanado. Um exemplo de um nome distinto tpico : CN=Suzan Fine,OU=Sales,DC=contoso,DC=msft Chave DC OU CN Atributo Componente do Domnio Unidade Organizacional Nome Comum Descrio Um componente do nome DNS do domnio, como com. Uma unidade organizacional que pode ser utilizada para conter outros objetos. Qualquer objeto fora os componentes do domnio e unidades organizacionais, como objetos usurio e computador.

Nome Distinto Relativo O nome distinto relativo LDAP a poro do nome distinto LDAP que identifica exclusivamente o objeto em seu recipiente. Sua composio varia dependendo da extenso do contexto de pesquisa existente estabelecido pelo cliente. O contexto de pesquisa pode variar do nvel de componente do domnio at o nvel de nome comum. No exemplo precedente, o nome distinto relativo do objeto de usurio Suzan Fine Suzan Fine. A tabela a seguir fornece exemplos de nomes distintos, o contexto de pesquisa estabelecido pelo cliente, e nomes distintos relativos. Nome distinto OU=Vendas,DC=contoso,DC=msft CN=Suzan Fine,OU=Vendas,DC=contoso, DC=msft CN=Judy Lew,OU=Transporte, DC=europe,DC=contoso,DC=msft Nome distinto relativo OU=Vendas CN=Suzan Fine CN=Judy Lew

Estrutura Lgica do Active Directory


Domnios Unidades Organizacionais rvores e Florestas Catlogo Global A estrutura lgica do Active Directory flexvel e fornece um mtodo para o desenvolvimento de uma hierarquia dentro do Active Directory que compreensvel tanto para usurios como para administradores. Os componentes lgicos da estrutura do Active Directory incluem: -5-

Mdulo 1: Introduo ao Active Directory no Windows Server 2003

Domnios Unidades organizacionais rvores e florestas Catlogo global Voc deve entender o propsito e a funo dos componentes lgicos da estrutura do Active Directory de forma que voc possa realizar uma gama de tarefas, incluindo a instalao, configurao, administrao e resoluo de problemas com o Active Directory.

Domnios
Um Domnio um Limite de Segurana Um administrador de domnio pode administrar apenas dentro do domnio, a menos que tenha obtido direitos administrativos explicitamente em outros domnios Um Domnio uma Unidade de Replicao Controladores de domnios em um domnio participam na replicao e contm uma cpia completa das informaes do diretrio para seus domnios A unidade central da estrutura lgica no Active Directory o domnio. Um domnio uma coleo de computadores, definidos por um administrador, que compartilham uma banco de dados de diretrio comum. Um domnio tem um nome exclusivo e fornece acesso a contas de usurio centralizadas e contas de grupo mantidas pelo administrador do domnio. Limite de Segurana Em uma rede Windows Server 2003, o domnio funciona como um limite de segurana. O propsito de um limite de segurana garantir que um administrador de um domnio tenha as permisses e direitos necessrios para executar a administrao apenas dentro deste domnio, a menos que o administrador tenha obtido estes direitos explicitamente em outros domnios tambm. Cada domnio tem suas prprias diretivas de segurana e relacionamentos de confiana com outros domnios. Unidade de Replicao Domnios tambm so chamados de unidades de replicao. Em um domnio, computadores chamados controladores de domnio contm uma rplica do Active Directory. Todos os controladores de domnio em um domnio particular podem receber alteraes s informaes no Active Directory e replicar estas alteraes a todos os outros controladores neste domnio.

Unidades Organizacionais
Utilize UOs ou Objetos de Grupo em uma Hierarquia Lgica que Melhor Satisfaa as Necessidades de Sua Organizao Delegue Controle Administrativo sobre os Objetos Dentro de uma UO Atribuindo Permisses Especficas para Usurios e Grupos

-6-

Mdulo 1: Introduo ao Active Directory no Windows Server 2003

Uma unidade organizacional (OU, organizational unit) um objeto recipiente que voc utiliza para organizar objetos dentro de um domnio. Uma UO pode conter objetos, como contas de usurio, grupos, computadores, impressoras e outras UOs. Hierarquia da UO Voc pode utilizar UOs para agrupar objetos em uma hierarquia lgica que melhor satisfaa as necessidades de sua organizao. Por exemplo, voc pode criar uma hierarquia de UO para representar o seguinte em uma organizao: Modelo administrativo de rede baseado em responsabilidades administrativas. Por exemplo, uma organizao poderia ter um administrador que fosse responsvel pelos usurios e outro que fosse responsvel por todos os computadores. Neste caso, voc criaria uma UO para usurios e outra UO para computadores. Estrutura organizacional baseada em limites departamentais ou geogrficos. A hierarquia da UO dentro de um domnio independente da estrutura da hierarquia da UO de outros domnios cada domnio pode implementar sua prpria hierarquia de UO. Controle Administrativo de UOs Voc pode delegar controle administrativo sobre os objetos dentro de uma UO. Para delegar controle administrativo de uma UO, voc atribui permisses especificas para a UO e os seus objetos para um ou mais usurios e grupos. Para uma UO, voc pode atribuir controle administrativo completo, como controle total sobre todos os objetos na UO, ou controle administrativo limitado, como a habilidade de modificar informaes de e-mail em objetos de usurio na UO.

rvores e Florestas

Two-Way Two-Way Transitive Transitive Trust Trust

(root)

contoso.msft contoso.msft

Forest Tree
nwtraders.msft nwtraders.msft asia. asia. contoso.msft contoso.msft au. au. contoso.msft contoso.msft

Tree
asia. asia. nwtraders.msft nwtraders.msft au. au. nwtraders.msft nwtraders.msft

Two-Way Two-Way Transitive Transitive Trusts Trusts

O primeiro domnio do Windows Server 2003 que voc cria chamado domnio raiz da floresta. Domnios adicionais so adicionados ao domnio raiz para formar a estrutura da rvore ou a estrutura da floresta, dependendo dos requisitos de nome do domnio.

-7-

Mdulo 1: Introduo ao Active Directory no Windows Server 2003

rvores Uma rvore um arranjo hierrquico dos domnios do Windows Server 2003 que compartilham um espao de nomes (namespace) contguo. Quando voc adiciona um domnio a uma rvore existente, o novo domnio um domnio filho de um domnio pai existente. O nome do domnio filho combinado com o nome do domnio pai para formar seu nome DNS. Cada domnio filho tem uma relao de confiana transitiva bidirecional com seu domnio pai. Confianas Transitivas Bidirecionais Relaes de confiana transitivas bidirecionais so as relaes de confiana padro nos domnios do Windows Server 2003. Uma confiana transitiva bidirecional uma combinao de uma confiana transitiva e uma confiana bidirecional. Uma confiana transitiva significa que a relao de confiana estabelecida para um domnio automaticamente entendida para todos os outros domnios que confiam neste domnio. Por exemplo, o domnio au.contoso.msft confia diretamente em contoso.msft. O domnio asia.contoso.msft tambm confia diretamente em contoso.msft. Por ambas as confianas serem transitivas, au.contoso.msft confia indiretamente em asia.contoso.msft. Uma confiana bidirecional significa que existem dois caminhos de segurana em direes opostas entre dois domnios. Por exemplo, o domnio au.contoso.msft confia em contoso.msft em uma direo e contoso.msft confia em au.contoso.msft na direo oposta. A vantagem das confianas transitivas bidirecionais nos domnios do Windows Server 2003 que existe uma confiana completa entre todos os domnios em uma hierarquia de domnios do Active Directory. rvores vinculadas por relaes de confiana formam uma floresta. Florestas Uma floresta um conjunto de uma ou mais rvores. As rvores em uma floresta no compartilham um espao de nome contguo. Entretanto, as rvores em uma floresta compartilham um esquema comum e um catlogo global. Uma rvore nica que no relacionada a outras rvores constitui uma floresta de uma rvore. Desta forma, cada domnio raiz da rvore contm uma relao de confiana transitiva com o domnio raiz da floresta. O nome do domnio raiz da floresta utilizado para se referir a uma determinada floresta. Cada rvore em uma floresta tem seu espao de nome exclusivo. Por exemplo, Contoso, Ltd. cria uma organizao separada chamada Northwind Traders. Contoso, Ltd. decide criar um novo nome de domnio para Northwind Traders, chamado nwtraders.msft. Embora as duas organizaes no compartilhem um espao de nome comum, adicionar o novo domnio do Active Directory como uma nova rvore em uma floresta existente permite que duas organizaes compartilhem recursos e funes administrativas.

Catlogo Global
O catlogo global um repositrio de informaes que contm um subconjunto de atributos de todos os objetos no Active Directory. Por padro, os atributos que so armazenados no catlogo global so aqueles que so mais freqentemente utilizados em consultas, como o primeiro nome, o ltimo nome e o nome de logon de um usurio. O catlogo global contm -8-

Mdulo 1: Introduo ao Active Directory no Windows Server 2003

as informaes que so necessrias para determinar a localizao de qualquer objeto no diretrio.


Subset Subset of of the the Attributes Attributes of of All All Objects Objects
Domain

Domain Domain Domain Domain Domain

Global Global Catalog Catalog Queries Queries Group Group membership membership when when user user logs logs on on
Global Catalog Server

O catlogo global permite que os usurios executem duas funes importantes: Encontrar informaes do Active Directory na floresta inteira, independente da localizao dos dados. Utilizar informaes de participao em grupos universais para efetuar logon na rede. Um servidor de catlogo global um controlador de domnio que armazena uma cpia das consultas e as processa no catlogo global. O primeiro controlador de domnio que voc cria no Active Directory se torna automaticamente o servidor de catlogo global. Voc pode configurar servidores de catlogo global adicionais para balancear o trfego de autenticao de logon e consultas. O catlogo global torna a estrutura de diretrio dentro de uma floresta transparente aos usurios que executam uma pesquisa. Por exemplo, se voc pesquisa por todas as impressoras em uma floresta, um servidor de catlogo global processa a consulta no catlogo global e ento retorna os resultados. Sem um servidor de catlogo global, esta consulta exigiria uma pesquisa por cada domnio na floresta. O catlogo global tambm contm as permisses de acesso para cada objeto e atributo armazenados no catlogo global. Se voc est pesquisando por um objeto e voc no tem as permisses apropriadas para visualizar o objeto, voc no o ver na lista de resultados. Isto garante que os usurios possam encontrar apenas objetos para os quais eles tm acesso designado.

Estrutura Fsica do Active Directory


Controladores de Domnio Sites No Active Directory, a estrutura lgica separada e distinta da estrutura fsica. Voc utiliza a estrutura lgica para organizar seus recursos de rede e utiliza a estrutura fsica para -9-

Mdulo 1: Introduo ao Active Directory no Windows Server 2003

configurar e gerenciar seu trfego de rede. Controladores de domnio e sites constituem a estrutura fsica do Active Directory. A estrutura fsica do Active Directory define onde e quando o trfego de replicao e logon ocorre. Compreender os componentes fsicos do Active Directory crtico para a otimizao do trfego de rede e para o processo de logon. Alm disto, compreender a estrutura fsica pode ajudar na resoluo de problemas de replicao e logon.

Controladores de Domnio
Domain Controllers:
z z

Participate in Active Directory replication Perform single master operations roles in a domain
r1 Use r2 U se

Replication Replication

r1 Use r2 U se

Domain Controller

Domain Domain

Domain Controller

= =A A Writeable Writeable Copy Copy of of the the Active Active Directory Directory Database Database

Um controlador de domnio um computador executando o Windows Server 2003 Server que armazena uma rplica do diretrio. Um controlador de domnio tambm gerencia as alteraes s informaes do diretrio e replica estas alteraes a outros controladores de domnio no mesmo domnio. Os controladores de domnio armazenam dados do diretrio e gerenciam processos de logon do usurio, autenticao e buscas no diretrio. Um domnio pode ter um ou mais controladores de domnio. Uma pequena empresa que utiliza uma rede local (LAN, local area network) pode precisar de apenas um domnio com dois controladores de domnio para fornecer disponibilidade e tolerncia a falhas adequadas, enquanto uma grande organizao com muitas localidades geogrficas precisa de um ou mais controladores de domnio em cada localizao para fornecer disponibilidade e tolerncia falhas adequadas. Replicao do Active Directory Controladores de domnio em um domnio e em uma floresta replicam automaticamente qualquer alterao ao banco de dados do Active Directory entre si. A replicao garante que todas as informaes no Active Directory estejam disponveis para todos os controladores de domnio e computadores cliente atravs de toda a rede. A estrutura fsica do Active Directory determina quando e como a replicao ocorre. O Active Directory utiliza um modelo de replicao mestre mltiplo. Neste modelo, cada domnio do Windows Server 2003 tem um ou mais controladores de domnio. Cada controlador de domnio armazena uma cpia gravvel do banco de dados do Active Directory para seu domnio e gerencia as alteraes e atualizaes sua cpia do diretrio. Quando um usurio ou administrador executa uma ao que causa uma atualizao ao diretrio em um controlador de domnio, esta atualizao replicada a todos os -10-

Mdulo 1: Introduo ao Active Directory no Windows Server 2003

controladores de domnio no domnio. Entretanto, controladores de domnio podem guardar informaes diferentes por curtos perodos de tempo at que todos eles tenham sincronizado suas alteraes no Active Directory. Operaes de Mestre nico Algumas alteraes ao Active Directory so imprprias de executar utilizando o modelo de replicao mestre mltiplo pelo potencial de gerar conflitos em operaes essenciais. Por estas razes, operaes de mestre nico so atribudas apenas a controladores de domnio especficos. Um mestre de operaes um controlador de domnio ao qual foi atribuda uma ou mais funes de operaes de mestre nico em um domnio ou floresta do Active Directory. Os controladores de domnio aos quais so atribudas estas funes executam operaes, como a adio ou remoo de um domnio de uma floresta, que no so podem ocorrer simultaneamente em diferentes controladores de domnio na rede.

Sites
Seattle Chicago Los Angeles New York

IP subnet

Sites:
z z

Site

IP subnet

Optimize replication traffic Enable users to log on to a domain controller by using a reliable, high-speed connection

Sites: Otimizam o trfego de replicao Permitem que os usurios efetuem o logon em um controlador de domnio utilizando uma conexo confivel de alta velocidade Um site consiste de uma ou mais sub-redes de Protocolo de Internet (IP, Internet Protocol) que so conectadas por um vnculo de alta velocidade. Definindo sites, voc pode configurar a topologia de acesso e replicao para o Active Directory de forma que o Windows Server 2003 utilize os vnculos mais eficientes e agende a replicao e trfego de logon. Voc cria sites por duas razes principais: Para otimizar o trfego de replicao Para permitir que os usurios se conectem a um controlador de domnio utilizando uma conexo confivel de alta velocidade

-11-

Mdulo 1: Introduo ao Active Directory no Windows Server 2003

Sites mapeiam a estrutura fsica de sua rede, enquanto domnios mapeiam a estrutura lgica de sua organizao. As estruturas lgicas e fsicas do Active Directory so independentes entre si, o que causa as seguintes conseqncias: No necessariamente existe uma correlao entre a estrutura fsica da rede e sua estrutura de domnio. O Active Directory permite mltiplos domnios em um nico site e mltiplos sites em um nico domnio. No necessariamente existe uma correlao entre espaos de nome de site e domnio. Observao: Para mais informaes sobre as estruturas lgica e fsica do Active Directory, consulte Arquitetura do Active Directory (Active Directory Architecture) sob Leitura Adicional (Additional Reading) no CD Materiais do Aluno (Student Materials).

Mtodos para a Administrao de uma Rede do Windows Server 2003


Utilizando o Active Directory para Gerenciamento Centralizado Gerenciando o Ambiente do Usurio Delegando Controle Administrativo O Windows Server 2003 e o Active Directory fornecem aos administradores os mtodos e utilitrios para centralizar o gerenciamento da rea de trabalho de todos os computadores em uma organizao e para descentralizar as tarefas administrativas. Os administradores executam as seguintes tarefas administrativas: Centralizar o gerenciamento. O Active Directory permite que os administradores gerenciem centralmente grande quantidade de usurios, computadores, impressoras e recursos de rede a partir de uma localizao central. O Active Directory permite que os usurios organizem centralmente recursos de rede de acordo com os requisitos administrativos. Gerenciar o ambiente do usurio. A Diretiva de Grupo permite que os administradores especifiquem configuraes e apliquem configuraes de Diretiva de Grupo de gerenciamento a UOs no Active Directory. Alm disto, a Diretiva de Grupo permite que administradores definam uma Diretiva de Grupo para um usurio ou computador apenas uma vez e ento utilize o Windows Server 2003 para for-la continuamente. Delegar controle administrativo. O Active Directory permite que um administrador com a autoridade apropriada delegue um conjunto selecionado de privilgios administrativos para indivduos ou grupos dentro de uma organizao. Este administrador pode especificar os privilgios que estes indivduos tm para gerenciar diferentes recipientes e objetos no Active Directory. O Windows Server 2003 tambm fornece as ferramentas para comparar responsabilidades administrativas e para delegar responsabilidades administrativas de rede a outros administradores.

-12-

Mdulo 1: Introduo ao Active Directory no Windows Server 2003

Utilizando o Active Directory para Gerenciamento Centralizado


Domain

Search
OU1 OU1

OU1

Domain Domain OU2 OU2

Computers Computer1 Users User1 OU2

User1 Computer1 User2 User2 Printer1 Printer1 User1 Computer1

Users User2 Printers Printer1

O Active Directory fornece aos administradores a capacidade de gerenciar recursos centralmente. As vantagens do gerenciamento de recursos centralmente so: O Active Directory permite que um nico administrador gerencie e administre centralmente recursos de rede. O Active Directory contm informaes sobre todos os objetos e seus atributos. Os atributos mantm dados que descrevem o recurso que o objeto do diretrio identifica. O Active Directory permite que administradores localizem facilmente informaes sobre objetos. Pesquisando atributos selecionados, voc pode encontrar qualquer objeto localizado em qualquer lugar na rvore do Active Directory. O Active Directory permite que voc agrupe objetos com requisitos administrativos e de segurana similares em UOs. UOs fornecem mltiplos nveis de autoridade administrativa tanto para aplicar configuraes de Diretiva de Grupo como para delegar controle administrativo. Esta delegao de autoridade administrativa simplifica a tarefa de gerenciar estes objetos e permite que os administradores estruturem o Active Directory para satisfazer suas necessidades. O Active Directory utiliza a Diretiva de Grupo para fornecer aos administradores a habilidade de especificar configuraes de Diretiva de Grupo para um site, domnio ou UO. O Active Directory refora ento estas configuraes de Diretiva de Grupo para todos os usurios e computadores dentro do recipiente.

Gerenciando o Ambiente do Usurio


Utilize a Diretiva de Grupo para: Controlar e bloquear o que os usurios podem fazer Gerenciar centralmente a instalao, reparos, atualizaes e remoes de software Configurar dados do usurio para acompanhar os usurios se eles estiverem on-line ou offline

-13-

Mdulo 1: Introduo ao Active Directory no Windows Server 2003

12

3
Windows Windows 2000 2000 Enforces Enforces Continually Continually

Domain Domain OU1 OU1 OU2 OU2 OU3 OU3

Apply Apply Group Group Policy Policy Once Once

1 2

A Diretiva de Grupo no Windows Server 2003 possibilita o gerenciamento centralizado baseado em diretivas. A administrao baseada em diretivas facilita o gerenciamento mesmo da rede mais complexa, permitindo que voc aplique uma Diretiva de Grupo a um objeto apenas uma vez e ento conte com o Windows Server 2003 para forar continuamente a Diretiva de Grupo atravs da rede. A Diretiva de Grupo utiliza os recipientes do Active Directory (sites, domnios e UOs) como unidades administrativas. Uma Diretiva de Grupo definida em um recipiente afeta todos os usurios e computadores que ela contm. O Windows Server 2003 aplica configuraes de Diretiva de Grupo para usurios e computadores quando o computador inicia ou o usurio efetua o logon. A Diretiva de Grupo fornece configuraes para controlar servios do computador, ambientes de rea de trabalho e capacidades dos usurios. A Diretiva de Grupo permite que voc controle dados, configuraes de computador pessoal, ambiente de computao e software dos usurios. As configuraes de Diretiva de Grupo que so associadas ao usurio permitem que os administradores forneam acesso consistente a todas as informaes e softwares dos usurios, independente de qual computador eles esto trabalhando. Voc pode utilizar a Diretiva de Grupo para gerenciar o ambiente do usurio: Controlando o que usurios podem fazer depois de terem efetuado o logon na rede e bloqueando caractersticas que eles no podem acessar. Este controle garante que os usurios possam obter acesso s ferramentas e informaes que eles precisam, mas no possam obter acesso a nada que no seja necessrio aos seus trabalhos. Limitar o escopo do que um usurio pode fazer garante que nenhum tempo desnecessrio ser gasto na resoluo de problemas de sistema operacional e configuraes de aplicativos. Gerenciando centralmente a instalao de aplicativos, pacotes de servios e atualizaes de sistema operacional, e os reparos, atualizaes e remoo de software. Se voc utiliza a Diretiva de Grupo para instalar software, voc pode garantir que os mesmos aplicativos estejam disponveis para qualquer computador no qual um usurio efetua logon. Voc tambm pode garantir que arquivos e configuraes ausentes sejam reparados automaticamente toda vez que um aplicativo iniciado. Configurando os dados do usurio para acompanhar os usurios se eles estiverem on-line, conectados rede, ou temporariamente off-line. Acompanhar significa que mesmo que os dados do usurio estejam armazenados em localizaes de rede especficas, eles sempre aparecero como locais ao usurio. Arquivos off-line gravam em cache dados da rede para os computadores locais, logo estes esto disponveis quando o usurio se desconecta da rede.

-14-

Mdulo 1: Introduo ao Active Directory no Windows Server 2003

Delegando Controle Administrativo

Domain OU1 Admin1

OU2 Admin2 OU3 Admin3

Atribua Permisses: A outros administradores para UOs especficas Para modificar atributos especficos de um objeto em uma nica UO Para executar a mesma tarefa em todas as UOs Personalize as Ferramentas Administrativas para: Mapear as tarefas administrativas delegadas Simplificar a interface O Windows Server 2003 permite que voc delegue privilgios administrativos para certos objetos a indivduos apropriados dentro de uma organizao. Isto possvel porque a estrutura do Active Directory permite que voc atribua permisses e conceda direitos de usurio de muitas formas especficas. Voc pode delegar os seguintes tipos de controle administrativo: Atribuir permisses, como Controle Total, para UOs especficas a diferentes administradores. Desta forma, trs UOs poderiam ter trs administradores diferentes. Atribuir as permisses para modificar atributos especficos de um objeto em uma nica UO. Por exemplo, atribuir a permisso para alterar o nome, endereo e nmero do telefone e para redefinir senhas em um objeto conta de usurio. Atribuir as permisses para executar a mesma tarefa, como a redefinio de senha em todas UOs de um domnio. O Windows Server 2003 tambm proporciona a voc a capacidade de personalizar tarefas administrativas de forma que as ferramentas correspondam s tarefas administrativas que voc delega a outros administradores. Voc pode criar ferramentas administrativas personalizadas para: Mapear as permisses que foram atribudas a um usurio para uma tarefa administrativa. Simplificar a interface para usurios com privilgios administrativos limitados.

-15-

Mdulo 1: Introduo ao Active Directory no Windows Server 2003

Voc tambm pode combinar todas as ferramentas necessrias para cada funo administrativa em um nico console.

Reviso
Introduo ao Active Directory Estrutura Lgica do Active Directory Estrutura Fsica do Active Directory Mtodos para a Administrao de uma Rede Windows Server 2003

Qual o propsito do Active Directory no Windows Server 2003? O que so sites e domnios e como eles se diferem entre si? O que so rvores e florestas e como elas se diferem entre si? O que elas tm em comum?

-16-