Introduo resumida ao Active Directory (AD)

Nuno Alexandre Magalhes Pereira; Novembro de 2004.

O Active Directory (AD) , com toda a certeza, o componente mais importante do Windows 2000/2003 (W2K/2K3). Infelizmente tambm um dos componentes mais complexos e um dos mais omnipresentes: Uma boa partes das funcionalidades mais relevantes do W2K/2K3 requerem o AD. O AD , na sua essncia, uma base de dados. No seu mago encontra-se um motor de base de dados, chamado ESE (Extensible Storage Engine), que uma variante do motor do Access (chamado JET Joint Engine Technology). Mas Active Directory... isso no um nome um pouco estranho para uma base de dados? ( maior parte das pessoas faz lembrar a estrutura de organizao dos discos...) Este tipo de bases de dados (de utilizadores, grupos, mquinas,...) tende a ser mais lida que escrita e isto permite introduzir algumas optimizaes no motor da base de dados, para aproveitar esse facto. Isto no esclarece muito sobre o nome encontrado para esta tecnologia, mas acontece que, os especialistas de bases de dados, costumam dar o nome de directory a este tipo de bases de dados. Adicionalmente, costumava-se utilizar listas de pessoas s quais, em ingls, se atribui o nome de office directories ou phone directories. Os diversos recursos armazenados no AD recebem o nome de objectos, estes objectos podem ser mquinas, utilizadores, informao sobre estes, impressoras, polticas de segurana, etc. Cada objecto contm um conjunto de atributos que o caracterizam. Por exemplo, os atributos de uma conta de utilizador podem incluir o primeiro e ltimo nome do utilizador, departamento, endereo de correio electrnico, etc.

Figura 1. Objectos e atributos no AD

Uma questo importante sobre o AD a interface que este disponibiliza: Antigamente (ou talvez nem tanto...), poderia acontecer que, para cada servio da rede, o utilizador se tivesse de autenticar perante esse servio (BD, NetWare, Mail, ...). O ideal seria poder fazer login no sistema operativo e depois este trataria de autenticar o utilizador junto de outros servios. O problema era: Como os fabricantes de software iriam fazer os seus produtos perguntar ao SO se um utilizador particular pode utilizar o seu servio? E como podiam confiar que a Microsoft no iria mudar essa interface, caso existisse, numa futura verso? Bom, com o W2K a Microsoft tentou responder a esta questo: Baseou a interface para o AD num standard chamado LDAP (Lightweight Directory Access Protocol), definido no padro X.500. Desta forma abriu o AD para outros fabricantes de software. Resumindo algumas das propriedades mais relevantes do AD: - Dispe de uma interface padro: LDAP (Lightweight Directory Access Protocol); - Contas de utilizadores e mquinas centralizadas; - Servidores que funcionam como servidores de autenticao: Controladores de domnio; - Funciona como um ndice dos recursos na rede; - Domnios muito maiores (comparado com verses anteriores de servidores Windows); - Subdiviso de domnios em unidades lgicas; - Delegao de tarefas administrativas; - Melhoria dos processos de replicao. Atravs da criao de sites; - Facilita o processo de construir e manter mltiplos domnios; - Unificao do sistema de nomes: Baseado em DNS; - Implementao de polticas de utilizao do sistema (Group Policies). Nas seces seguintes, iremos abordar alguns conceitos bsicos sobre o AD.

Componentes bsicos do AD
Os objectos que podem ser armazenados no AD esto definidos no AD Schema. Este define no s os tipos de objectos como os tipos dos atributos de cada objecto. As definies em si so tambm elas prprias objectos, de forma a poderem ser geridas da mesma forma que os restantes objectos. O AD contm componentes que permitem representar as estruturas lgicas da organizao: Domnios, Unidades Organizacionais (organizational units - OUs), rvores e florestas. No Global Catalog encontra-se um resumo dos objectos no AD. Adicionalmente, existem componentes que permitem representar a estrutura fsica: Sites e Controladores de Domnio. Vamos agora ver cada um destes componentes.

Domnios
Esta a unidade bsica da estrutura lgica do AD. Um domnio pode armazenar milhes de objectos. De uma forma simples, um domnio uma unidade de segurana, que define os direitos administrativos sobre um grupo de recursos. No entanto, o AD permite que estes direitos possam ser delegados a sub-divises do domnio, chamadas Unidades Organizacionais (Organizational Units - OUs).

Figura 2. Recursos organizados hierarquicamente em estruturas lgicas. O AD permite a criao de domnios com milhes de objectos, tornando possvel desenvolver domnios a uma escala muito alargada: perfeitamente aceitvel o cenrio de uma empresa de dimenso mundial, com apenas um domnio. Em verses anteriores (NT4), este era um cenrio impossvel principalmente porque os domnios eram muito mais limitados na quantidade de utilizadores que suportavam, no permitiam a criao de divises do domnio com diferentes poderes de administrao e tambm porque Controladores de Domnio no possuam forma de saber como estavam conectados entre si, assim iriam efectuar as tarefas de cpia de informao respeitante ao domnio da mesma forma, quer estivessem na mesma rede local, ou ligados atravs de uma conexo de rea alargada com muito menor capacidade. Existem, no entanto, algumas razes para criar domnios diferentes no W2K, estas podem ser razes polticas ou razes tcnicas. No nos iremos alargar nas razes polticas. Quanto s razes tcnicas, estas podem incluir: problemas de cpia da informao respeitante ao AD, devido a uma largura de banda muito reduzida ou conexes muito pouco fiveis. Embora o W2K possua mecanismos para lidar com este aspecto (criao de Sites), podem existir casos em que as conexes no permitem a replicao normal entre os Controladores de Domnio; Polticas de contas de utilizadores diferentes. O W2K apenas permite a definio de polticas como quantas vezes um utilizador pode falhar a introduo da sua palavra-chave ou quando deve um utilizador ser obrigado a trocar de palavra-chave a um nvel de domnio; Ou por razes de segurana: Como cada Controlador de Domnio contm uma cpia do AD para toda a organizao. Se algum mal intencionado conseguir obter o AD (por exemplo, simplesmente roubando o disco de um controlador numa delegao distante onde so mais descuidados em termos de segurana fsica dos servidores) poder eventualmente conseguir decifrar a informao a contida e conseguir as palavras-chave de todo o domnio.

Unidades Organizacionais (OU)

Como referido, os domnios podem ser divididos em OUs. Estas so utilizadas como contentores, para organizar objectos dentro de um domnio em grupos administrativos lgicos que reflectem de alguma forma a estrutura organizacional ou estrutura de negcio da organizao. Utilizando OUs possvel delegar direitos administrativos sobre grupos de recursos. Na figura 3, foram criadas trs OUs: US, ORDERS e DISP, estas podem reflectir conjuntos de direitos

administrativos diferentes. Por exemplo poderia ser desejado que os administradores da ORDERS tenham capacidade para adicionar/remover utilizadores, e permitir acesso aos ficheiros e impressoras afectos a essas OUs. Mas, aos administradores da DISP, no se desejava dar a permisso para criar modificar os utilizadores.

Figura 3. Recursos organizados hierarquicamente em estruturas lgicas. Por omisso, as permisses das OUs so herdadas dos seus superiores. Portanto (observando a Figura 3), se ORDERS e DISP fossem filhos de US seria possvel atribuir uma gama mais alargada de permisses a US e restringir, atravs das propriedades da herana, as permisses especficas para cada uma das OUs.

rvores e Florestas
rvores e Florestas so estruturas que permitem poupar o administrador da tarefa de construir relaes de confiana entre os domnios que administra. As rvores so grupos de domnios. Entre os domnios de uma rvore so criadas relaes de confiana bidireccionais (domnio A confia no domnio B e B confia em A) e transitivas (por exemplo, na figura 4, se sls.uk.microsoft.com possu uma relao de confiana com uk.microsoft.com, ento tambm possu uma relao de confiana com microsoft.com).

Figura 5. Uma rvore de domnios As florestas no so mais do que grupos de rvores (como seria de esperar). Entre as rvores de uma floresta so tambm criadas relaes de confiana bidireccionais e transitivas. Mas porque necessitamos de florestas afinal? No poderamos passar apenas com rvores? Os grupos de domnios criados pelas rvores tm um problema: Os nomes tm de estar dentro de

uma hierarquia. Ou seja, os sub-domnios tm de incluir os nomes dos domnios superiores. Pode acontecer que este arranjo no seja possvel para uma determinada organizao. E para isso que existem as florestas.

Figura 6. Uma floresta de rvores Escondido nesta admirvel noo de juntar domnios em rvores e rvores em florestas existe um problema: No possvel juntar domnios j existentes a uma rvore ou juntar rvores j existentes a uma floresta. A nica forma de adicionar um domnio a uma rvore ou uma rvore a uma floresta construindo o domnio de raiz dentro de uma rvore ou floresta j existente. Acontece tambm que no possvel criar relaes de confiana bidireccionais e transitivas manualmente. Apenas relaes num s sentido e no transitivas. A soluo para o problema de inserir um domnio j existente a uma rvore ou floresta seria criar um novo domnio vazio e depois copiar toda a informao deste para o novo domnio. O W2K3 veio colmatar de alguma forma este problema, pois possvel criar relaes de confiana bidireccionais e transitivas entre florestas. No entanto, para tal ser necessrio ter todos os controladores de domnio da floresta com W2K3.

Grupos
Os grupos permitem juntar conjuntos de utilizadores, sobre os quais sero aplicadas as mesmas permisses. Na sua essncia, grupos so um tipo especial de conta, que podem incluir no s utilizadores como tambm mquinas. necessrio chamar ateno para o facto de, apesar do seu nome, as polticas de grupo (Group Policies, so o substituto das polticas de sistema (system policies) do NT, basicamente permitem manipular atributos do registry, de forma a implementar polticas de utilizao do sistema. Exemplos: Ajustar os direitos dos utilizadores; Restringir as aplicaes que os utilizadores podem utilizar; Configurao do ambiente de trabalho dos utilizadores; etc) no so aplicadas a grupos, mas sim a OUs. Existe 4 tipos diferentes de grupos: Machine local groups; Domain local groups o Grupos locais; Para atribuio de privilgios locais e acesso a recursos locais. Deve-se tentar colocar outros grupos dentro dos grupos locais e tentar manter o nmero de membros pequeno.

Domain global groups o Grupos globais; Para reunir utilizadores e outros grupos globais no mesmo domnio que necessitam dos mesmos privilgios ou acesso aos mesmos recursos. Colocar estes grupos dentro de grupos locais que possuem os privilgios pretendidos. Universal groups o Grupos Universais; Apenas podem ser utilizados quando estamos em modo nativo (modo nativo do W2K refere-se ao modo de funcionamento do domnio, por razes de compatibilidade com verses anteriores. Os grupos universais so uma das principais razes para a existncia de diferentes modos de funcionamento, pois este tipo de grupos no compatvel com NT41). Deve-se manter o nmero de membros pequeno. A melhor forma para utilizar estes grupos colocar grupos globais dentro destes, evitando colocar utilizadores ou mquinas directamente dentro de grupos universais (na seco seguinte, respeitante ao Global Catalog, explica-se porqu).

Deve-se tentar evitar fazer muitos nveis imbricados de grupos, pois tal ter uma forma impacto sobre o desempenho do sistema. A imagem seguinte mostra a forma como os grupos podem ser colocados dentro de outros grupos.

Figura 7. Que grupos vo para dentro de outros grupos

Global Catalog (GC)

O GC uma verso abreviada da informao sobre cada um dos domnios na floresta, servindo como elo de ligao entre os domnios. Contm uma relao dos UPNs (User Principal Name, que ser discutido mais adiante) dos utilizadores e dos domnios a que pertencem, informao sobre os grupos globais e tambm sobre os grupos universais. No caso dos grupos universais, o GC tambm guarda cada um dos seus membros. Devido a este facto, no aconselhada a utilizao de muitos grupos universais.

Neste aspecto, o W2K3 introduziu ainda mais complexidade. Enquanto no W2K existiam apenas dois modos de funcionamento, (nativo - native e combinado - mixed), no W2K3, os modos de funcionamento passam a denominar-se functional levels. Existem (quatro) ao nvel do domnio (domain functional levels) e (dois) ao nvel da floresta (forest functional levels).

Figura 8. Global Catalog O GC foi concebido para permitir respostas a consultas sobre objectos do AD com o maior desempenho e menor trfego possveis. Porque contm informao sobre todos os domnios da floresta, permite que as consultas no necessitem de percorrer vrios domnios at encontrar a resposta. Para motivar a importncia do GC, podemos dizer que este uma pea fundamental para o login de utilizadores nos domnios W2K. Sem um servidor do GC disponvel, um utilizador apenas conseguir fazer login de localmente. Vamos ver porqu. (J agora, como que uma mquina encontra o servidor do GC, para fazer a sua consulta? - Atravs do DNS.) Com o W2K, qualquer utilizador de um domnio pode (a menos que existam polticas de segurana que digam o contrrio) entrar em qualquer mquina pertencente floresta, sendo identificado pelo seu UPN (User Principal Name). O UPN uma simplificao na forma como os utilizadores se identificam perante o sistema. Um UPN tem um formato semelhante a um endereo de correio electrnico z@dei-isep.pt, o utilizador pode entrar no sistema introduzindo o seu nome (z) e o domnio a que pertence (dei-isep.pt), ou pode simplesmente indicar o seu UPN. Adicionalmente, o sufixo UPN (neste caso: dei-isep.pt) no necessita de ter nada a ver com o nosso domnio, por exemplo podamos atribuir o UPN z@asi1.pt, mas o nosso utilizador ser, na realidade, um utilizador do domnio dei-isep.pt. Para isso teramos apenas de definir o sufixo asi1.pt como um sufixo UPN vlido (na ferramenta Active Directory Domains and Trusts). Esta simplificao para os utilizadores adiciona complexidade ao processo de autenticao do utilizador, pois quando um utilizador se identifica desta forma, depois necessrio descobrir a que domnio o utilizador pertence na realidade. Esta uma das funes do GC. Num domnio com apenas um controlador (que, deve-se dizer, uma situao pouco recomendvel), o GC encontra-se no prprio Controlador de Domnio. No caso de existirem mltiplos Controladores de Domnio, possvel designar quais tero tambm o papel de serem servidores do GC (Global Catalog Servers).

Sites
Os Sites existem para reflectirem as interligaes fsicas entre as mquinas de um domnio. Desta forma, os Controladores de Domnio ficam a saber se esto a comunicar via uma conexo de alta velocidade ou se devem usar de maior parcimnia na utilizao da conexo. Tipicamente os Sites so definidos pelas redes de rea local da organizao. Todas as mquinas de uma determinada rede local estaro, partida, no mesmo site.

Controladores de Domnio
Os Controladores de Domnio so mquinas com o W2K Server que guardam uma cpia do AD. Em W2K, um domnio pode ter vrios Controladores de Domnio e estes encarregam-se de manter cada uma das suas cpias do AD consistentes entre si, atravs de um processo de replicao explicado adiante. necessrio ter em conta que, a replicao junto de um determinado Controlador de Domnio por todos os outros controladores, pode demorar algum tempo. Por isso, as alteraes submetidas a um determinado Controlador de Domnio (por exemplo, alterao de palavras-chave, adio de utilizadores) podem demorar algum tempo a se propagar pelos outros controladores.

Replicao
O processo de transferncia de informao do AD, entre Controladores de Domnio de uma floresta, de modo a manter a homogeneidade denominado de replicao. A replicao ocorre de uma forma peridica. A informao sobre os Sites (como vimos, so estruturas que definem as interligaes entre as mquinas de um domnio) definidos utilizada para gerir a forma como a replicao acontece. A replicao entre controladores do mesmo Site acontece de forma mais frequente que entre controladores em Sites diferentes. Entre Controladores de Domnio que se encontram dentro do mesmo Site, um programa denominado KCC (Knowledge Consistency Checker) executa periodicamente e elabora uma topologia para a replicao da informao de uma eficiente.

Figura 9. Topologia de Replicao

Quando temos os nossos Controladores de Domnio a operar em modo nativo, estes no iro efectuar replicao com os controladores de verses anteriores ao W2K. A replicao entre controladores de Sites diferentes d-se de uma forma semelhante, no entanto existe um cuidado especial na utilizao das ligaes entre os Sites e a informao das actualizaes comprimida.