Introduo ao Active Directory

Introduo ao Active Directory

O servio de diretrio do Active Directory pode ser instalado em servidores que executem o
Microsoft Windows Server !!"# Standard $dition% Windows Server !!"# $nterprise
$dition% e o Windows Server !!"# Datacenter $dition& $le arma'ena informa(es so)re o)*etos
na rede e facilita o acesso de administradores e usu+rios a essas informa(es& O Active
Directory usa um arma'enamento estruturado de dados como )ase para uma or,ani'a-o l,ica
e .ier+rquica das informa(es de diretrio&
$sse arma'enamento de dados# tam)/m con.ecido como diretrio# cont/m informa(es so)re
os o)*etos do Active Directory& 0eralmente# os o)*etos incluem recursos compartil.ados como
servidores# arquivos# impressoras e contas de usu+rio e de computador da rede& 1ara o)ter mais
informa(es so)re o arma'enamento de dados do Active Directory# consulte Arma'enamento de
dados de diretrio &
A se,urana / inte,rada ao Active Directory atrav/s da autentica-o de lo,on e controle de
acesso a o)*etos no diretrio& 2om um 3nico lo,on na rede# os administradores podem ,erenciar
a or,ani'a-o e os dados de diretrio em suas redes e os usu+rios de rede autori'ados podem
acessar recursos em qualquer lu,ar da rede& A administra-o com )ase em diretivas facilita o
,erenciamento at/ mesmo das redes mais complexas& 1ara o)ter mais informa(es so)re a
se,urana do Active Directory# consulte 4is-o ,eral so)re se,urana &
O Active Directory tam)/m inclui5
Um conjunto de regras, o esquema, que define as classes de objetos e atributos contidos no diretrio, as restries e os
limites das ocorrncias desses objetos e o formato de seus nomes. Para obter mais informaes sobre o esquema,
consulte Esquema .
Um catlogo global que contm informaes sobre cada objeto no diretrio. Permite aos usurios e administradores
encontrarem informaes de diretrio indeendentemente de qual dom!nio do diretrio realmente conten"a os dados.
Para obter mais informaes sobre o catlogo global, consulte #un$o do catlogo global .
Um mecanismo de consulta e !ndice ara que os objetos e suas roriedades ossam ser ublicados e encontrados or
usurios ou alicati%os da rede. Para obter mais informaes sobre como consultar o diretrio, consulte &ocali'ar
informaes de diretrio .
Um ser%io de relica$o que distribui dados de diretrio em uma rede. (odos os controladores de dom!nio em um
dom!nio articiam da relica$o e contm uma cia comleta de todas as informaes de diretrio referentes a seu
resecti%o dom!nio. )ualquer altera$o nos dados de diretrio relicada ara todos os controladores de dom!nio no
dom!nio. Para obter mais informaes sobre a relica$o do *cti%e +irector,, consulte -is$o geral sobre dulica$o
.
.uorte ara soft/are cliente do *cti%e +irector,, que disonibili'a %rios recursos do 0icrosoft1 2indo/s1 3444
Professional ou do 2indo/s 5P Professional ara comutadores que e6ecutem 2indo/s 78, 2indo/s 79 e
2indo/s :(1 .er%er ;.4. Para os comutadores cliente que n$o esti%erem e6ecutando o soft/are cliente do *cti%e
+irector,, o diretrio ser e6ibido somente como um diretrio do 2indo/s :(. Para obter mais informaes sobre
soft/are cliente, consulte <lientes do *cti%e +irector, .
O)serva-o
-oc n$o ode instalar o *cti%e +irector, em um ser%idor que e6ecute o 2indo/s .er%er 344=, 2eb Edition, mas
ode ingressar o comutador em um dom!nio do *cti%e +irector, como ser%idor membro. Para obter mais informaes
sobre o 2indo/s .er%er 344=, 2eb Edition, consulte -is$o geral do 2indo/s .er%er 344=, 2eb
Criando um novo domnio filho

Criando um novo domnio filho
2rie um novo dom6nio fil.o quando um novo dom6nio tiver que compartil.ar um espao para
nome cont6,uo com um ou mais dom6nios& 7sso si,nifica que o nome do novo dom6nio cont/m o
nome completo do dom6nio pai& 1or exemplo# vendas&microsoft&com poderia ser um dom6nio
fil.o de microsoft&com& 2omo pr+tica recomendada# voc8 cria novos dom6nios como fil.os do
dom6nio rai' da floresta&
4oc8 pode criar um novo dom6nio fil.o criando um novo dom6nio so) um dom6nio pai usando o
Assistente para instala-o do Active Directory& 1ara o)ter informa(es so)re como criar um novo
dom6nio fil.o# consulte 2riar um novo dom6nio fil.o &
Depois de criar o dom6nio fil.o# voc8 pode criar controladores de dom6nio adicionais no dom6nio
fil.o para toler9ncia a fal.as e alta disponi)ilidade do Active Directory& 1ara o)ter mais
informa(es# consulte 2riando um controlador de dom6nio adicional &
Criar um novo domnio filho

Para criar um novo domnio filho
>. <lique em ?niciar, clique em E6ecutar e digite dcromo ara iniciar o *ssistente ara ?nstala$o do *cti%e
+irector,.
3. :a gina <omatibilidade de .istema @eracional, leia as informaes e, em seguida, clique em *%anar.
.e esta a rimeira %e' que %oc instala o *cti%e +irector, em um ser%idor que e6ecuta o 2indo/s .er%er 344=,
clique em *juda sobre <omatibilidade ara obter mais informaes.
=. :a gina (io de <ontrolador de +om!nio, clique em <ontrolador de dom!nio ara um no%o dom!nio e, em
seguida, clique em *%anar.
;. :a gina <riar :o%o +om!nio, clique em +om!nio fil"o em uma r%ore de dom!nio e6istente e, em seguida, clique
em *%anar.
8. :a gina <redenciais de Aede, digite o nome de usurio, a sen"a e o dom!nio do usurio da conta de usurio que
deseja usar nesta oera$o e clique em *%anar.
* conta de usurio de%e ser membro do gruo *dministra$o de Emresa.
B. :a gina ?nstala$o de +om!nio #il"o, %erifique o dom!nio ai, digite o no%o nome de dom!nio fil"o e clique em
*%anar.
C. :a gina :ome de +om!nio :etD?@., %erifique o nome :etD?@. e clique em *%anar.
9. :a gina Pastas do Danco de +ados e &og, digite o local no qual %oc deseja instalar o banco de dados e as astas
de log ou clique em Procurar ara escol"er um local e, em seguida, clique em *%anar.
7. :a gina -olume de .istema <omartil"ado, digite o local onde deseja instalar a asta .,s%ol ou clique em
Procurar ara escol"er um local e, em seguida, clique em *%anar.
>4. :a gina +iagnstico de Aegistro de +:., %erifique se as configuraes de +:. est$o corretas e clique em
*%anar.
>>. :a gina Permisses, selecione uma destas oesE
Permisses comat!%eis com %erses de sistemas oeracionais de ser%idor anteriores ao 2indo/s 3444
Permisses comat!%eis somente com os sistemas oeracionais de ser%idor 2indo/s 3444 ou 2indo/s
.er%er 344=
>3. :a gina .en"a do *dministrador do 0odo de Aestaura$o dos .er%ios de +iretrio, digite e confirme a sen"a
que deseja atribuir F conta *dministrador deste ser%idor e clique em *%anar.
Use esta sen"a ao iniciar o comutador no 0odo de Aestaura$o dos .er%ios de +iretrio
>=. E6amine a gina Aesumo e clique em *%anar ara iniciar a instala$o.
>;. Aeinicie o comutador.
O)serva(es
Para e6ecutar este rocedimento, %oc de%e ser um membro do gruo *dmins. do +om!nio ou *dministra$o de
Emresa no *cti%e +irector,, ou a autoridade adequada de%e ter sido delegada a %oc. <omo uma rtica recomendada
de segurana, use a o$o E6ecutar como ara reali'ar esse rocedimento. Para obter mais informaes, consulte
Gruos locais adr$o , Gruos adr$o e Usando E6ecutar como .
@ ser%idor onde %oc instalar o *cti%e +irector, usando este rocedimento ser o rimeiro controlador de dom!nio em
um no%o dom!nio fil"o.
*ntes de instalar o *cti%e +irector,, %oc recisar considerar n!%eis de segurana comat!%eis com as %erses
anteriores do 2indo/s 3444 e identificar o nome +:. do dom!nio. Para obter mais informaes, consulte a lista de
%erifica$o em (icos Aelacionados.
)uando um no%o dom!nio fil"o adicionado a uma r%ore de dom!nio e6istente, uma rela$o de confiana transiti%a
bidirecional criada automaticamente entre o no%o dom!nio fil"o e o dom!nio ai.
*s oes do assistente na gina Permisses afetam a comatibilidade de alicati%o com sistemas oeracionais
anteriores ao 2indo/s 3444 e 2indo/s .er%er 344=. *lm disso, n$o est$o relacionadas F funcionalidade do dom!nio.
Para obter mais informaes sobre ermisses, consulte (icos Aelacionados.
-oc tambm ode usar um cart$o inteligente ara %erificar credenciais administrati%as. Para obter mais informaes
sobre cartes inteligentes, consulte (icos Aelacionados.
@ *ssistente ara ?nstala$o do *cti%e +irector, ermite nomes de dom!nio do *cti%e +irector, com at B; caracteres
ou at >88 b,tes. *esar de o limite de B; caracteres ser normalmente alcanado antes do limite de >88 b,tes, o
contrrio ode ser %erdade se o nome conti%er caracteres Unicode que consomem trs b,tes. Esses limites n$o se
alicam a nomes de comutador.
-oc n$o ode instalar o *cti%e +irector, em um comutador que e6ecuta o 2indo/s .er%er 344=, 2eb Edition, mas
ode ingressar o comutador em um dom!nio do *cti%e +irector, como um ser%idor membro. Para obter mais
informaes sobre o 2indo/s .er%er 344=, 2eb Edition, consulte (icos Aelacionados.
Criando um controlador de domnio adicional

Criando controladores de domnio adicionais
Se voc8 *+ tiver um controlador de dom6nio em um dom6nio# poder+ adicionar outros
controladores de dom6nio a esse dom6nio para mel.orar a disponi)ilidade e a confia)ilidade dos
servios de rede& Adicionar outros controladores de dom6nio pode a*udar a fornecer toler9ncia a
fal.as# equili)rar a car,a de controladores de dom6nio existentes e fornecer suporte de infra:
estrutura adicional aos sites&
O fato de .aver mais de um controlador de dom6nio em um dom6nio permite que o dom6nio
continue a funcionar se um controlador de dom6nio fal.ar ou precisar ser desconectado& 4+rios
controladores de dom6nio tam)/m podem mel.orar o desempen.o# pois facilitam a conex-o de
um cliente com um controlador de dom6nio durante o lo,on na rede& 4oc8 pode adicionar outros
controladores de dom6nio pela rede ou a partir de m6dia de )ac;up&
Antes de adicionar controladores de dom6nio# / necess+rio entender o Active Directory e os
requisitos necess+rios para confi,urar controladores de dom6nio adicionais em um dom6nio
existente& 1ara o)ter mais informa(es# consulte 2.ec;list5 criando um controlador de dom6nio
adicional em um dom6nio existente e 2riar um controlador de dom6nio adicional &
Usando mdia de backup para criar controladores de domnio
adicionais
2om o Windows !!!# a 3nica forma de criar um controlador de dom6nio adicional em um
dom6nio existente / replicar todo o )anco de dados do diretrio para o novo controlador de
dom6nio& <uando .+ pouca lar,ura de )anda ou um )anco de dados de diretrio ,rande# essa
replica-o pode levar .oras ou dias& 2om servidores que executam o Windows Server !!"#
voc8 pode criar um controlador de dom6nio adicional usando um )ac;up restaurado feito de um
controlador de dom6nio que execute Windows Server !!"& $sse )ac;up pode ser arma'enado
em qualquer m6dia de )ac;up =fita# 2D ou D4D> ou em um recurso compartil.ado&
?sar arquivos de )ac;up restaurados para criar um controlador de dom6nio adicional redu'ir+
)astante a lar,ura de )anda de rede usada ao instalar o Active Directory em um recurso
compartil.ado% por/m# a conectividade de rede continua sendo necess+ria para que novos
o)*etos e altera(es recentes em o)*etos existentes se*am replicados para o novo controlador
de dom6nio&
@ recomend+vel usar o )ac;up mais recente dispon6vel& Aac;ups mais anti,os requerem mais
lar,ura de )anda de rede para a replica-o& O )ac;up usado n-o pode ser mais anti,o que o
tempo de desativa-o do dom6nio# que / definido para B! dias# o valor padr-o =CD! dias em
uma floresta criada em um servidor que executa o Windows Server !!" com Service 1ac; C
ES1CF>&
2aso ten.a sido feito )ac;up de um controlador de dom6nio que contin.a uma parti-o de
diretrio de aplicativos# ela n-o ser+ restaurada no novo controlador de dom6nio& 1ara o)ter
informa(es so)re como criar manualmente uma parti-o de diretrio de aplicativos em um
novo controlador de dom6nio# consulte 2riar ou excluir uma parti-o do diretrio de aplicativos
&
Ao adicionar outro controlador de dom6nio usando m6dia de )ac;up# um )ac;up de estado do
sistema feito apenas com controladores de dom6nio executando o Windows Server !!" pode
ser usado depois de ter sido restaurado& 1ara o)ter mais informa(es so)re como restaurar um
)ac;up do estado do sistema# consulte Gestaurar dados de estado do sistema &
Aumentar o nvel funcional do domnio

Aumentar o nvel funcional do domnio
>. *bra +om!nios e Aelaes de <onfiana do *cti%e +irector,.
3. :a r%ore de console, clique com o bot$o direito do mouse no dom!nio cuja funcionalidade %oc deseja aumentar e,
em seguida, clique em *umentar :!%el #uncional do +om!nio.
=. Em .elecione um n!%el funcional de dom!nio dison!%el, siga um destes rocedimentosE
Para aumentar o n!%el funcional do dom!nio ara o 2indo/s 3444 nati%o, clique em 2indo/s 3444 nati%o e,
em seguida, clique em *umentar.
Para aumentar o n!%el funcional do dom!nio ara o 2indo/s .er%er 344=, clique em 2indo/s .er%er 344= e,
em seguida, clique em *umentar.
2uidado
.e "ou%er controladores de dom!nio que e6ecutem o 2indo/s :( ;.4 e %erses anteriores, n$o aumente o n!%el
funcional do dom!nio ara o 2indo/s 3444 nati%o. +eois que o n!%el funcional do dom!nio for definido ara o
2indo/s 3444 nati%o, ele n$o oder ser alterado no%amente ara o 2indo/s 3444 misto.
.e %oc tem ou ter controladores de dom!nio e6ecutados no 2indo/s :( ;.4 ou anterior ou no 2indo/s 3444, n$o
aumente o n!%el funcional do dom!nio ara 2indo/s .er%er 344=. )uando o n!%el funcional do dom!nio for alterado
ara 2indo/s .er%er 344=, ele n$o oder %oltar a 2indo/s 3444 misto ou 2indo/s 3444 nati%o.
O)serva(es
Para e6ecutar este rocedimento, %oc de%e ser membro do gruo *dmins. do +om!nio no dom!nio cuja
funcionalidade %oc deseja aumentar ou do gruo *dministradores de emresa no *cti%e +irector,, ou a autoridade
aroriada de%e ter sido delegada a %oc. <omo rtica recomendada de segurana, use a o$o E6ecutar como ara
e6ecutar esse rocedimento. Para obter mais informaes, consulte Gruos locais adr$o , Gruos adr$o e
Usando E6ecutar como .
Para abrir +om!nios e Aelaes de <onfiana do *cti%e +irector,, clique em ?niciar, clique em Painel de <ontrole,
clique duas %e'es em #erramentas *dministrati%as e, em seguida, clique duas %e'es em +om!nios e Aelaes de
<onfiana do *cti%e +irector,.
Para aumentar o n!%el funcional do dom!nio, %oc tambm ode clicar com o bot$o direito do mouse em um dom!nio
e6ibido em Usurios e <omutadores do *cti%e +irector, e, em seguida, clicar em *umentar :!%el #uncional do
+om!nio.
@ atual n!%el funcional do dom!nio e6ibido em :!%el funcional atual do dom!nio na cai6a de dilogo *umentar :!%el
#uncional do +om!nio.
Direo da relao de confiana

Direo da relao de confiana
O tipo de rela-o de confiana e a dire-o atri)u6da ter-o impacto so)re o camin.o de confiana
usado para autentica-o& ?m camin.o de confiana / uma s/rie de rela(es de confiana que os
pedidos de autentica-o devem se,uir entre os dom6nios& 1ara que um usu+rio possa acessar
um recurso de outro dom6nio# o sistema de se,urana em controladores de dom6nio executando
Windows Server !!" deve determinar se o dom6nio confiante =aquele que cont/m o recurso
que o usu+rio est+ tentando acessar> tem uma rela-o de confiana com o dom6nio confi+vel =o
dom6nio de lo,on do usu+rio>& 1ara determinar isso# o sistema de se,urana calcula o camin.o
de confiana entre um controlador do dom6nio confiante e um controlador do dom6nio confi+vel&
Ha ilustra-o# os camin.os de confiana est-o indicados com setas que mostram a dire-o da
rela-o de confiana5
7ma,em 0r+fica
Iodas as rela(es de confiana de dom6nio t8m somente dois dom6nios na rela-o5 o dom6nio
confiante e o dom6nio confi+vel&
Relao de confiana unidirecional
?ma rela-o de confiana unidirecional / um camin.o de autentica-o unidirecional criado entre
dois dom6nios& 7sso si,nifica que# em uma rela-o de confiana unidirecional entre o Dom6nio A
e o Dom6nio A# os usu+rios no Dom6nio A podem acessar recursos no Dom6nio A& 1or/m# os
usu+rios no Dom6nio A n-o podem acessar recursos no Dominio A& Al,umas rela(es de
confiana unidirecionais podem ser uma rela-o de confiana intransitiva ou uma rela-o de
confiana transitiva# dependendo do tipo de confiana que est+ sendo criado& 1ara o)ter mais
informa(es so)re tipos de rela-o de confiana# consulte Iipos de rela(es de confiana &
7n6cio da p+,ina
Relao de confiana bidirecional
Iodas as rela(es de confiana entre dom6nios de uma floresta do Windows Server !!" s-o
rela(es de confiana transitivas )idirecionais& <uando um novo dom6nio fil.o / criado# uma
rela-o de confiana transitiva )idirecional / criada automaticamente entre o novo dom6nio fil.o
e o dom6nio pai& $m uma rela-o de confiana )idirecional# o Dom6nio A confia no Dom6nio A e o
Dom6nio A confia no Dom6nio A& 7sso si,nifica que os pedidos de autentica-o podem ser
passados entre os dois dom6nios em am)as as dire(es& Al,umas rela(es )idirecionais podem
ser intransitivas ou transitivas# dependendo do tipo de rela-o de confiana que est+ sendo
criado& 1ara o)ter mais informa(es# consulte Iipos de rela(es de confiana &
?m dom6nio do Windows Server !!" pode esta)elecer uma rela-o de confiana unidirecional
ou )idirecional com5
+om!nios do 2indo/s .er%er 344= na mesma floresta
+om!nios do 2indo/s .er%er 344= de uma floresta diferente
+om!nios do 2indo/s :( ;.4
(erritrios do Herberos -8
1ara o)ter mais informa(es so)re o Jer)eros 4K# consulte Autentica-o Jer)eros 4K &
Praticas recomendadas para o Active Directory
Introduo ao Active Directory
O servio de diretrio do Active Directory pode ser instalado em servidores que executem o
Microsoft Windows Server !!"# Standard $dition% Windows Server !!"# $nterprise
$dition% e o Windows Server !!"# Datacenter $dition& $le arma'ena informa(es so)re o)*etos
na rede e facilita o acesso de administradores e usu+rios a essas informa(es& O Active
Directory usa um arma'enamento estruturado de dados como )ase para uma or,ani'a-o l,ica
e .ier+rquica das informa(es de diretrio&
$sse arma'enamento de dados# tam)/m con.ecido como diretrio# cont/m informa(es so)re
os o)*etos do Active Directory& 0eralmente# os o)*etos incluem recursos compartil.ados como
servidores# arquivos# impressoras e contas de usu+rio e de computador da rede& 1ara o)ter mais
informa(es so)re o arma'enamento de dados do Active Directory# consulte Arma'enamento de
dados de diretrio &
A se,urana / inte,rada ao Active Directory atrav/s da autentica-o de lo,on e controle de
acesso a o)*etos no diretrio& 2om um 3nico lo,on na rede# os administradores podem ,erenciar
a or,ani'a-o e os dados de diretrio em suas redes e os usu+rios de rede autori'ados podem
acessar recursos em qualquer lu,ar da rede& A administra-o com )ase em diretivas facilita o
,erenciamento at/ mesmo das redes mais complexas& 1ara o)ter mais informa(es so)re a
se,urana do Active Directory# consulte 4is-o ,eral so)re se,urana &
O Active Directory tam)/m inclui5
Um conjunto de regras, o esquema, que define as classes de objetos e atributos contidos no diretrio, as restries e os
limites das ocorrncias desses objetos e o formato de seus nomes. Para obter mais informaes sobre o esquema,
consulte Esquema .
Um catlogo global que contm informaes sobre cada objeto no diretrio. Permite aos usurios e administradores
encontrarem informaes de diretrio indeendentemente de qual dom!nio do diretrio realmente conten"a os dados.
Para obter mais informaes sobre o catlogo global, consulte #un$o do catlogo global .
Um mecanismo de consulta e !ndice ara que os objetos e suas roriedades ossam ser ublicados e encontrados or
usurios ou alicati%os da rede. Para obter mais informaes sobre como consultar o diretrio, consulte &ocali'ar
informaes de diretrio .
Um ser%io de relica$o que distribui dados de diretrio em uma rede. (odos os controladores de dom!nio em um
dom!nio articiam da relica$o e contm uma cia comleta de todas as informaes de diretrio referentes a seu
resecti%o dom!nio. )ualquer altera$o nos dados de diretrio relicada ara todos os controladores de dom!nio no
dom!nio. Para obter mais informaes sobre a relica$o do *cti%e +irector,, consulte -is$o geral sobre dulica$o
.
.uorte ara soft/are cliente do *cti%e +irector,, que disonibili'a %rios recursos do 0icrosoft1 2indo/s1 3444
Professional ou do 2indo/s 5P Professional ara comutadores que e6ecutem 2indo/s 78, 2indo/s 79 e
2indo/s :(1 .er%er ;.4. Para os comutadores cliente que n$o esti%erem e6ecutando o soft/are cliente do *cti%e
+irector,, o diretrio ser e6ibido somente como um diretrio do 2indo/s :(. Para obter mais informaes sobre
soft/are cliente, consulte <lientes do *cti%e +irector, .
Relaes de confiana de floresta
Relaes de confiana de floresta
$m uma floresta do Windows Server !!"# voc8 pode unir duas florestas n-o li,adas do
Windows Server !!" para formar uma rela-o de confiana transitiva unidirecional ou
)idirecional& ?ma rela-o de confiana de floresta )idirecional / usada para formar uma rela-o
de confiana transitiva entre todos os dom6nios de duas florestas&
As rela(es de confiana de floresta podem conferir as se,uintes vanta,ens5
Gerenciamento simlificado de recursos entre duas florestas do 2indo/s .er%er 344= obtido com a redu$o do
nImero de relaes de confiana e6ternas necessrias ara comartil"ar recursos.
Aelaes de confiana bidirecionais comletas com todos os dom!nios de cada floresta.
Uso da autentica$o do nome de usurio rincial JUP:K entre duas florestas.
Uso dos rotocolos de autentica$o Herberos -8 e :(&0 ara mel"orar a confiabilidade dos dados de autori'a$o
transferidos entre as florestas.
#le6ibilidade de administra$o. *s tarefas administrati%as odem ser e6clusi%as em cada floresta.
As rela(es de confiana de floresta s podem ser criadas entre duas florestas e n-o podem ser
implicitamente estendidas a uma terceira floresta& 7sso si,nifica que se for criada uma rela-o
de confiana entre a floresta C e a floresta e tam)/m for criada uma rela-o de confiana
entre a floresta e a floresta "# a floresta C n-o ter+ uma rela-o de confiana impl6cita com a
floresta "& 1ara o)ter mais informa(es so)re os requisitos necess+rios para uma rela-o de
confiana de floresta# consulte <uando criar uma rela-o de confiana de floresta &
!bservaes
Em uma floresta do 2indo/s 3444, se os usurios de uma floresta recisarem de acesso a recursos de outra floresta, o
administrador oder criar um rela$o de confiana e6terna entre os dois dom!nios. *s relaes de confiana e6ternas
odem ser unidirecionais, bidirecionais e s$o intransiti%as. Portanto, limite a ossibilidade de estender as relaes de
confiana a outros dom!nios. Para obter mais informaes sobre relaes de confiana e6ternas, consulte (ios de
relaes de confiana .
(odas as relaes de confiana do 2indo/s .er%er 344= *cti%e +irector, usam a filtragem de .?+ Jidentificador de
seguranaK em algum grau. *s relaes de confiana e6terna ficam em quarentena or adr$o, o que imede que .?+s
de dom!nio diferentes dos ertencentes ao dom!nio de confiana em quarentena atra%essem a rela$o de confiana. *
filtragem .?+ usada ara imedir ataques de usurios malLintencionados que odem tentar conceder direitos de
usurio ele%ados a outra conta de comutador. * filtragem .?+ em relaes de confiana de floresta n$o imede que
migraes ara dom!nios dentro da mesma floresta usem o "istrico .?+ e n$o afetar sua estratgia de controle de
acesso de gruo uni%ersal. Para obter mais informaes sobre relaes de confiana e6ternas, consulte )uando criar
uma rela$o de confiana e6terna .
"erenciando um ambiente com v#rias florestas
As rela(es de confiana de floresta a*udam a ,erenciar uma infra:estrutura do Active Directory
se,mentada da or,ani'a-o por meio de suporte ao acesso a recursos e outros o)*etos das
v+rias florestas& 1ara o)ter mais informa(es so)re como acessar recursos em v+rias florestas#
consulte Acessando recursos entre florestas &
2omo cada floresta pode ser administrada separadamente# a inclus-o de florestas adicionais na
or,ani'a-o aumenta as necessidades de ,erenciamento& 1ara o)ter mais informa(es# consulte
2riando uma nova floresta &
Os motivos para criar diversas florestas na or,ani'a-o incluem5
Proteger dados em cada floresta. @s dados confidenciais odem ser rotegidos ara que somente os usurios da floresta
em quest$o ossam acessLlos.
?solar a relica$o de diretrio em cada floresta. *s alteraes de esquema e de configura$o, e a adi$o de no%os
dom!nios a uma floresta afetam toda essa floresta aenas, e n$o em uma floresta confiante.
Dele$ando controle administrativo em toda a floresta
Os dados do Active Directory arma'enados nos recipientes de esquema e de confi,ura-o s-o
replicados em cada controlador de dom6nio da floresta& 2omo as altera(es efetuadas nos
recipientes de esquema e de confi,ura-o afetam todos os dom6nios da floresta# o controle
administrativo das altera(es em toda a floresta deve ser confiado a administradores )em
treinados e experientes& Iodos os dados de dom6nio contidos no dom6nio rai' da floresta
tam)/m devem ser considerados como dados altamente confidenciais&
Os se,uintes ,rupos oferecem controle administrativo de toda a floresta em cada floresta5
Administradores de empresa
Admins. do Domnio Jno dom!nio rai' da florestaK
Administradores de esquema
L+ que a participa-o em qualquer desses ,rupos pode afetar o comportamento em toda a
floresta# adicione usu+rios com cautela& 2omo pr+tica recomendada de se,urana# evite
adicionar usu+rios de outra floresta a qualquer desses ,rupos administrativos em toda a
floresta& 1ara o)ter mais informa(es so)re esses ,rupos# consulte 0rupos padr-o &
%incroni&ando dados entre as florestas
4oc8 pode sincroni'ar listas de endereo ,lo)ais =0AMs> e o)*etos entre florestas usando o MMS
=servios de metadiretrio da Microsoft> ou uma outra ferramenta de sincroni'a-o que ten.a
suporte& Os tipos de dados comuns que precisam de sincroni'a-o entre florestas incluem5
G*&s JE6c"angeK
Pastas Iblicas
@bjetos de diretrio
A sincroni'a-o desses dados entre florestas a*udar-o os usu+rios finais a verem listas de
endereos e outros dados da mesma maneira quando verificam essas informa(es em sua
prpria floresta&
1ara o)ter mais informa(es so)re o MMS# consulte Microsoft Metadirectory Services =site
em in,l8s>&
Renomeando Domnios
Windows erver !""# Active Directory Domain Rename $ools
?pdated5 Au,ust CN# !!O
Do'nloadAead 0e #irst
(indo's
%erver )**+
Active
Directory
Domain
Rename ,ools
"BO JA
?pdated5 Au,
CN# !!O
Understandin$
-o' Domain
Rename (orks
"!! JA
Microsoft Word
file
?pdated5 Dec
CD# !!"
0et Office Pile
4iewers
%tep.by.%tep
"uide to
Implementin$
Domain
Rename
CQK JA
Microsoft Word
file
?pdated5 Au,
CB# !!O
I.e Windows Server !!" Active Directory Domain Gename Iools provide a security:en.anced and
supported met.odolo,y to rename one or more domains =as well as application directory partitions> in
a deployed Active Directory forest& I.e DHS name and t.e HetA7OS name of a domain can )e
c.an,ed usin, t.e domain rename procedure& Por an understandin, of t.e constraints of t.e domain
rename procedure# please see t.e accompanyin, document# R?nderstandin, Sow Domain Gename
Wor;s#R availa)le on t.is pa,e&
/ote0 I.ese tools are for use wit. Windows Server !!" only& Do not use t.em wit. Windows !!!&
Important0 I.e domain rename operation and t.e use of t.e domain rename tools is not supported
in an Active Directory forest t.at .as any version of Microsoft $xc.an,e Server prior to $xc.an,e
Server !!" S1C deployed in it&
I.e latest version of t.e domain rename tools t.at are availa)le for download are as follows5
1atest 2ersion5 rendom&exe version C&O# ,pfixup&exe version C&C
Release Date5 Au,ust CB# !!O
Do'nload %tatistics5 "BO JA download file# B! seconds T D&D ;)ps
Uou can c.ec; t.e version num)er of eac. tool )y runnin, t.e tool wit. t.e RVWR command:line switc.&
7f you do not .ave t.e latest version of t.ese tools as specified .ere# you can download t.em from
t.is pa,e =see Sow to Download and 7nstall# )elow>&
Iop of pa,e
Documents
Hote t.at implementin, domain rename is a complex underta;in, t.at requires t.orou,. plannin, and
a ,ood understandin, of t.e domain rename procedure& I.e two documents on t.is pa,e are desi,ned
to .elp you understand t.e process and ,uide you t.rou,. t.e procedure step )y step&
Por an understandin, of w.ere t.e domain rename process is applica)le# its constraints# and
.ow it wor;s# please review t.e document R?nderstandin, Sow Domain Gename Wor;s&R
Por a step:)y:step ,uide to plannin, and implementin, t.e domain rename procedure# please
review t.e document RStep:)y:Step 0uide to 7mplementin, Domain Gename&R
Iop of pa,e
%ystem Re3uirements
Io perform t.e domain rename procedure# you must )e runnin, one of t.e followin, versions of
Windows Server !!" or .i,.er on every domain controller in t.e forest in w.ic. t.e domain rename
is to )e performed5
Windows Server !!"# Standard $dition
Windows Server !!"# $nterprise $dition
Windows Server !!"# Datacenter $dition
Iop of pa,e
1an$ua$e %upport
I.e domain rename tools can )e used on all lan,ua,e versions of Windows Server !!"& I.ere are no
lan,ua,e:specific versions of t.e tools&
Iop of pa,e
-o' to Do'nload and Install
C& 2lic; t.e (indo's %erver )**+ Active Directory Domain Rename ,ools lin; at t.e top
of t.is pa,e&
& W.en t.e Pile Download dialo, )ox appears# select %ave or %ave this pro$ram to disk&
"& 2.oose a location on your computer to save t.e file# and t.en clic; %ave&
Iop of pa,e
-o' to Use
C& 0o to t.e location w.ere you saved t.e downloaded file# and t.en dou)le:clic; t.e file to
launc. t.e installation wi'ard&
& Geview t.e contents of t.e two documents referenced in t.e Documents section a)ove for a
t.orou,. understandin, of t.e domain rename process and a step:)y:step ,uide to t.e domain
rename procedure&
Iop of pa,e
-o' to Uninstall
0o to t.e location w.ere you saved t.e downloaded file# and t.en delete t.e downloaded file as well
as t.e individual tools t.at were extracted&

$ipos de relao de confiana

,ipos de relao de confiana
A comunica-o entre dom6nios ocorre por rela(es de confiana& As rela(es de confiana s-o
canais de autentica-o que devem estar presentes para que os usu+rios em um dom6nio
acessem recursos em outro dom6nio& Duas rela(es de confiana padr-o s-o criadas quando se
usa o X)YAssistente para instala-o do Active DirectoryXV)Y& S+ quatro tipos de rela(es de
confiana que podem ser criados usando o X)YAssistente de nova rela-o de confianaXV)Y ou
a ferramenta de lin.a de comando Hetdom&
Relaes de confiana padro
1or padr-o# rela(es de confiana transitivas )idirecionais s-o criadas automaticamente quando
um novo dom6nio / adicionado a uma +rvore de dom6nio ou dom6nio rai' de floresta usando o
Assistente para 7nstala-o do Active Directory& Os dois tipos de rela(es de confiana padr-o
s-o definidos na ta)ela a se,uir&
,ipo de
relao de
confiana
,ransitividade Direo Descrio
Pai e fil"o (ransiti%a Didirecional Por adr$o, quando um no%o dom!nio fil"o adicionado a uma
r%ore de dom!nio e6istente, uma no%a rela$o de confiana criada
automaticamente entre o dom!nio fil"o e o dom!nio ai. *s
solicitaes de autentica$o feitas a artir de dom!nios subordinados
fluem em dire$o ascendente elo ai ara o dom!nio confiante. Para
obter informaes sobre como criar um no%o dom!nio fil"o, consulte
<riar um no%o dom!nio fil"o .
Aai' de r%ore (ransiti%a Didirecional Por adr$o, quando uma no%a r%ore de dom!nio criada em uma
floresta e6istente, uma no%a rela$o de confiana de rai' de r%ore
estabelecida. Para obter informaes sobre como criar uma no%a
r%ore de dom!nio, consulte <riar uma no%a r%ore de dom!nio .
!utras relaes de confiana
<uatro outros tipos de rela(es de confiana podem ser criados usando o X)YAssistente de
nova rela-o de confianaXV)Y ou a ferramenta de lin.a de comando Hetdom5 rela(es de
confiana externas# de territrio# de floresta e de atal.o& $ssas rela(es de confiana est-o
definidas na ta)ela a se,uir&
,ipo de
relao de
confiana
,ransitividade Direo Descrio
E6terna ?ntransiti%a Unidirecional ou
bidirecional
Use relaes de confiana e6ternas ara fornecer acesso a
recursos locali'ados em um dom!nio do 2indo/s :( ;.4 ou em
um dom!nio locali'ado em uma floresta searada, que n$o sejam
unidos or uma rela$o de confiana de floresta. Para obter mais
informaes, consulte )uando criar uma rela$o de confiana
e6terna .
(erritrio (ransiti%a ou
intransiti%a
Unidirecional ou
bidirecional
Use relaes de confiana de territrio ara formar uma rela$o
de confiana entre um territrio Herberos n$oL2indo/s e um
dom!nio do 2indo/s .er%er 344=. Para obter mais informaes,
consulte )uando criar uma rela$o de confiana de territrio
.
#loresta (ransiti%a Unidirecional ou
bidirecional
Use relaes de confiana de floresta ara comartil"ar recursos
entre florestas. .e uma rela$o de confiana de floresta uma
rela$o de confiana bidirecional, as solicitaes de
autentica$o feitas em qualquer das florestas odem alcanar a
,ipo de
relao de
confiana
,ransitividade Direo Descrio
outra floresta. Para obter mais informaes, consulte )uando
criar uma rela$o de confiana de floresta .
*tal"o (ransiti%a Unidirecional ou
bidirecional
Use relaes de confiana de atal"o ara mel"orar o logon do
usurio entre dois dom!nios em uma floresta do 2indo/s
.er%er 344=. ?sso Itil quando dois dom!nios est$o searados
or duas r%ores de dom!nio. Para obter mais informaes,
consulte )uando criar uma rela$o de confiana de atal"o .
Ao criar rela(es de confiana externas# de atal.o# de territrio ou de floresta# voc8 tem a op-o
de criar cada lado da rela-o de confiana separadamente ou os dois lados simultaneamente&
Se voc8 optar por criar cada lado da rela-o de confiana separadamente# precisar+ executar o
Assistente de Hova Gela-o de 2onfiana duas ve'es::uma para cada dom6nio& Ao criar rela(es
de confiana usando o m/todo# voc8 precisar+ fornecer a mesma sen.a de rela-o de confiana
para cada dom6nio& 2omo uma pr+tica de se,urana recomendada# todas as rela(es de
confiana devem ter sen.as de alto n6vel& 1ara o)ter mais informa(es# consulte Sen.as de alta
se,urana &
Se voc8 optar por criar os dois lados da rela-o de confiana simultaneamente# precisar+
executar o X)YAssistente de nova rela-o de confianaXV)Y uma ve'& <uando voc8 escol.e
esta op-o# uma sen.a de rela-o de confiana de alto n6vel / ,erada automaticamente para
voc8&
4oc8 precisar+ ter as credenciais administrativas apropriadas para cada dom6nio entre os quais
estar+ criando uma rela-o de confiana&
O Hetdom&exe tam)/m pode ser utili'ado tam)/m para criar rela(es de confiana& 1ara o)ter
mais informa(es so)re o Hetdom# consulte Perramentas de suporte do Active Directory &
$ransitividade da relao de confiana

,ransitividade da relao de confiana
A transitividade determina se uma rela-o de confiana pode ser estendida para fora dos dois
dom6nios com os quais foi formada& ?ma rela-o de confiana transitiva pode ser usada para
estender relacionamentos de confiana com outros dom6nios e uma rela-o de confiana
intransitiva pode ser usada para ne,ar rela(es de confiana com outros dom6nios&
Relaes de confiana transitivas
Sempre que voc8 cria um novo dom6nio em uma floresta# uma rela-o de confiana transitiva
)idirecional / criada automaticamente entre o novo dom6nio e seu dom6nio pai& Se dom6nios fil.o
forem adicionados ao novo dom6nio# o camin.o de confiana move:se para cima pela .ierarquia
de dom6nio# estendendo o camin.o de confiana inicial criado entre o novo dom6nio e seu
dom6nio pai&
As rela(es de confiana transitivas movem:se para cima na +rvore de dom6nio conforme ela /
formada# criando rela(es de confiana transitivas entre todos os dom6nios na +rvore de
dom6nio&
Os pedidos de autentica-o se,uem esses camin.os de confiana# de forma que as contas de
um dom6nio da floresta podem ser autenticadas em qualquer outro dom6nio da mesma floresta&
2om um 3nico processo de lo,on# as contas que cont8m as permiss(es adequadas podem
acessar recursos em qualquer dom6nio na floresta& 1ara o)ter mais informa(es# consulte 4is-o
,eral so)re os protocolos de autentica-o &
7ma,em 0r+fica
O dia,rama exi)e todos os dom6nios em uma +rvore do Dom6nio A e todos os dom6nios em uma
+rvore do Dom6nio A que t8m rela(es de confiana transitivas por padr-o& 2omo resultado# os
usu+rios na +rvore do Dom6nio A podem acessar recursos em dom6nios na +rvore do Dom6nio C
e os usu+rios na +vore do Dom6nio C podem acessar recursos na +rvore do Dom6nio A# quando
as permiss(es apropriadas s-o atri)u6das no recurso&
Al/m das rela(es de confiana transitivas padr-o esta)e7ecidas em uma floresta do Windows
Server !!"# usando o Assistente de nova rela-o de confiana voc8 pode criar manualmente as
se,uintes rela(es de confiana transitiva&
Aela$o de confiana de atal"o. Uma rela$o de confiana transiti%a entre um dom!nio na mesma r%ore de dom!nio ou
floresta, usada ara diminuir o camin"o de confiana em r%ores de dom!nio e florestas grandes e comle6as.
Aela$o de confiana de floresta. Uma rela$o de confiana transiti%a entre um dom!nio rai' de floresta e um segundo
dom!nio rai' de floresta.
Aela$o de confiana de territrio. Uma rela$o de confiana transiti%a entre um dom!nio do *cti%e +irector, e um
territrio do Herberos -8. Para obter mais informaes sobre territrios do Herberos -8, consulte *utentica$o
Herberos -8 .
1ara o)ter mais informa(es so)re tipos de rela-o de confiana# consulte Iipos de rela(es de
confiana &
Relao de confiana intransitiva
?ma rela-o de confiana intransitiva / limitada pelos dois dom6nios da rela-o de confiana e
n-o flui para outros dom6nios da floresta& ?ma rela-o de confiana intransitiva pode ser uma
rela-o de confiana )idirecional ou uma rela-o de confiana unidirecional&
As rela(es de confiana intransitivas s-o unidirecionais por padr-o# em)ora voc8 tam)/m
possa criar uma rela-o )idirecional atrav/s da cria-o de duas rela(es de confiana
unidirecionais& Gesumindo# as rela(es de confiana intransitivas entre dom6nios s-o a 3nica
forma poss6vel de rela-o de confiana entre5
Um dom!nio do 2indo/s .er%er 344= e um dom!nio do 2indo/s :(
Um dom!nio do 2indo/s .er%er 344= em uma floresta e um dom!nio em outra floresta Jquando n$o associados or
uma rela$o de confiana de florestaK
?sando o X)YAssistente de nova rela-o de confianaXV)Y# voc8 cria manualmente as
se,uintes rela(es de confiana intransitivas5
Aela$o de confiana e6terna. Uma rela$o de confiana intransiti%a criada entre um dom!nio do 2indo/s .er%er 344=
e um dom!nio do 2indo/s 3444 ou um dom!nio do 2indo/s .er%er 344= em outra floresta.
)uando %oc atuali'ar um dom!nio do 2indo/s :( ara um dom!nio do 2indo/s .er%er 344=, todas as relaes de
confiana e6istentes do 2indo/s :( ser$o reser%adas. (odas as rela$o entre os dom!nios do 2indo/s .er%er 344= e
do 2indo/s :( s$o n$oLtransiti%as.
Aela$o de confiana de territrio. Uma rela$o de confiana intransiti%a entre um dom!nio do *cti%e +irector, e um
territrio do Herberos -8. Para obter mais informaes sobre territrios do Herberos -8, consulte *utentica$o
Herberos -8 .
1ara o)ter mais informa(es so)re tipos de rela-o de confiana# consulte Iipos de rela(es de
confiana &
3 ESTRELA
Aumentando os nveis funcionais do domnio e da floresta
<uando o Active Directory / instalado em um servidor que executa o Windows Server !!"# um
con*unto de recursos )+sicos do Active Directory / .a)ilitado por padr-o& 1ara o)ter mais
informa(es so)re os novos recursos padr-o# consulte Hovos recursos do Active Directory &
Al/m dos recursos )+sicos do Active Directory em controladores de dom6nio individuais# .+
novos recursos para todo o dom6nio e toda a floresta disponi)ili'ados quando todos os
controladores de dom6nio de um dom6nio ou de uma floresta executam o Windows Server !!"&
1ara .a)ilitar os novos recursos para todo o dom6nio# todos os controladores de dom6nio no
dom6nio precisam estar executando o Windows Server !!" e o n6vel funcional do dom6nio
precisa ser aumentado para Windows Server !!"& 1ara o)ter informa(es so)re como
aumentar o n6vel funcional do dom6nio# consulte Aumentar o n6vel funcional do dom6nio &
1ara .a)ilitar os novos recursos para toda a floresta# todos os controladores de dom6nio da
floresta precisam estar executando o Windows Server !!" e o n6vel funcional da floresta deve
ser aumentado para Windows Server !!"& Antes de aumentar o n6vel funcional da floresta para
Windows Server !!"# verifique se todos os dom6nios da floresta est-o definidos para o n6vel
funcional de dom6nio do Windows !!! nativo ou do Windows Server !!"& Mem)re:se de que
os dom6nios definidos com o n6vel funcional de dom6nio do Windows !!! nativo ser-o
aumentados automaticamente para Windows Server !!" quando o n6vel funcional da floresta
for aumentado para Windows Server !!"& 1ara o)ter informa(es so)re como aumentar o n6vel
funcional da floresta# consulte Aumentar o n6vel funcional da floresta &
Aumentar o nvel funcional do domnio

Aumentar o nvel funcional do domnio
>. *bra +om!nios e Aelaes de <onfiana do *cti%e +irector,.
3. :a r%ore de console, clique com o bot$o direito do mouse no dom!nio cuja funcionalidade %oc deseja aumentar e,
em seguida, clique em *umentar :!%el #uncional do +om!nio.
=. Em .elecione um n!%el funcional de dom!nio dison!%el, siga um destes rocedimentosE
Para aumentar o n!%el funcional do dom!nio ara o 2indo/s 3444 nati%o, clique em 2indo/s 3444 nati%o e,
em seguida, clique em *umentar.
Para aumentar o n!%el funcional do dom!nio ara o 2indo/s .er%er 344=, clique em 2indo/s .er%er 344= e,
em seguida, clique em *umentar.
2uidado
.e "ou%er controladores de dom!nio que e6ecutem o 2indo/s :( ;.4 e %erses anteriores, n$o aumente o n!%el
funcional do dom!nio ara o 2indo/s 3444 nati%o. +eois que o n!%el funcional do dom!nio for definido ara o
2indo/s 3444 nati%o, ele n$o oder ser alterado no%amente ara o 2indo/s 3444 misto.
.e %oc tem ou ter controladores de dom!nio e6ecutados no 2indo/s :( ;.4 ou anterior ou no 2indo/s 3444, n$o
aumente o n!%el funcional do dom!nio ara 2indo/s .er%er 344=. )uando o n!%el funcional do dom!nio for alterado
ara 2indo/s .er%er 344=, ele n$o oder %oltar a 2indo/s 3444 misto ou 2indo/s 3444 nati%o.
O)serva(es
Para e6ecutar este rocedimento, %oc de%e ser membro do gruo *dmins. do +om!nio no dom!nio cuja
funcionalidade %oc deseja aumentar ou do gruo *dministradores de emresa no *cti%e +irector,, ou a autoridade
aroriada de%e ter sido delegada a %oc. <omo rtica recomendada de segurana, use a o$o E6ecutar como ara
e6ecutar esse rocedimento. Para obter mais informaes, consulte Gruos locais adr$o , Gruos adr$o e
Usando E6ecutar como .
Para abrir +om!nios e Aelaes de <onfiana do *cti%e +irector,, clique em ?niciar, clique em Painel de <ontrole,
clique duas %e'es em #erramentas *dministrati%as e, em seguida, clique duas %e'es em +om!nios e Aelaes de
<onfiana do *cti%e +irector,.
Para aumentar o n!%el funcional do dom!nio, %oc tambm ode clicar com o bot$o direito do mouse em um dom!nio
e6ibido em Usurios e <omutadores do *cti%e +irector, e, em seguida, clicar em *umentar :!%el #uncional do
+om!nio.
@ atual n!%el funcional do dom!nio e6ibido em :!%el funcional atual do dom!nio na cai6a de dilogo *umentar :!%el
#uncional do +om!nio.
Informaes sobre diferenas funcionais
@ seu ser%idor ode funcionar de forma diferente deendendo da %ers$o e edi$o do sistema oeracional instalado, das
ermisses da conta e das configuraes de menu. Para obter mais informaes, consulte E6ibindo a *juda na 2eb
.