O servio de diretrio do Active Directory pode ser instalado em servidores que executem o Microsoft Windows Server !!"# Standard $dition% Windows Server !!"# $nterprise $dition% e o Windows Server !!"# Datacenter $dition& $le arma'ena informa(es so)re o)*etos na rede e facilita o acesso de administradores e usu+rios a essas informa(es& O Active Directory usa um arma'enamento estruturado de dados como )ase para uma or,ani'a-o l,ica e .ier+rquica das informa(es de diretrio& $sse arma'enamento de dados# tam)/m con.ecido como diretrio# cont/m informa(es so)re os o)*etos do Active Directory& 0eralmente# os o)*etos incluem recursos compartil.ados como servidores# arquivos# impressoras e contas de usu+rio e de computador da rede& 1ara o)ter mais informa(es so)re o arma'enamento de dados do Active Directory# consulte Arma'enamento de dados de diretrio & A se,urana / inte,rada ao Active Directory atrav/s da autentica-o de lo,on e controle de acesso a o)*etos no diretrio& 2om um 3nico lo,on na rede# os administradores podem ,erenciar a or,ani'a-o e os dados de diretrio em suas redes e os usu+rios de rede autori'ados podem acessar recursos em qualquer lu,ar da rede& A administra-o com )ase em diretivas facilita o ,erenciamento at/ mesmo das redes mais complexas& 1ara o)ter mais informa(es so)re a se,urana do Active Directory# consulte 4is-o ,eral so)re se,urana & O Active Directory tam)/m inclui5 Um conjunto de regras, o esquema, que define as classes de objetos e atributos contidos no diretrio, as restries e os limites das ocorrncias desses objetos e o formato de seus nomes. Para obter mais informaes sobre o esquema, consulte Esquema . Um catlogo global que contm informaes sobre cada objeto no diretrio. Permite aos usurios e administradores encontrarem informaes de diretrio indeendentemente de qual dom!nio do diretrio realmente conten"a os dados. Para obter mais informaes sobre o catlogo global, consulte #un$o do catlogo global . Um mecanismo de consulta e !ndice ara que os objetos e suas roriedades ossam ser ublicados e encontrados or usurios ou alicati%os da rede. Para obter mais informaes sobre como consultar o diretrio, consulte &ocali'ar informaes de diretrio . Um ser%io de relica$o que distribui dados de diretrio em uma rede. (odos os controladores de dom!nio em um dom!nio articiam da relica$o e contm uma cia comleta de todas as informaes de diretrio referentes a seu resecti%o dom!nio. )ualquer altera$o nos dados de diretrio relicada ara todos os controladores de dom!nio no dom!nio. Para obter mais informaes sobre a relica$o do *cti%e +irector,, consulte -is$o geral sobre dulica$o . .uorte ara soft/are cliente do *cti%e +irector,, que disonibili'a %rios recursos do 0icrosoft1 2indo/s1 3444 Professional ou do 2indo/s 5P Professional ara comutadores que e6ecutem 2indo/s 78, 2indo/s 79 e 2indo/s :(1 .er%er ;.4. Para os comutadores cliente que n$o esti%erem e6ecutando o soft/are cliente do *cti%e +irector,, o diretrio ser e6ibido somente como um diretrio do 2indo/s :(. Para obter mais informaes sobre soft/are cliente, consulte <lientes do *cti%e +irector, . O)serva-o -oc n$o ode instalar o *cti%e +irector, em um ser%idor que e6ecute o 2indo/s .er%er 344=, 2eb Edition, mas ode ingressar o comutador em um dom!nio do *cti%e +irector, como ser%idor membro. Para obter mais informaes sobre o 2indo/s .er%er 344=, 2eb Edition, consulte -is$o geral do 2indo/s .er%er 344=, 2eb Criando um novo domnio filho
Criando um novo domnio filho 2rie um novo dom6nio fil.o quando um novo dom6nio tiver que compartil.ar um espao para nome cont6,uo com um ou mais dom6nios& 7sso si,nifica que o nome do novo dom6nio cont/m o nome completo do dom6nio pai& 1or exemplo# vendasµsoft&com poderia ser um dom6nio fil.o de microsoft&com& 2omo pr+tica recomendada# voc8 cria novos dom6nios como fil.os do dom6nio rai' da floresta& 4oc8 pode criar um novo dom6nio fil.o criando um novo dom6nio so) um dom6nio pai usando o Assistente para instala-o do Active Directory& 1ara o)ter informa(es so)re como criar um novo dom6nio fil.o# consulte 2riar um novo dom6nio fil.o & Depois de criar o dom6nio fil.o# voc8 pode criar controladores de dom6nio adicionais no dom6nio fil.o para toler9ncia a fal.as e alta disponi)ilidade do Active Directory& 1ara o)ter mais informa(es# consulte 2riando um controlador de dom6nio adicional & Criar um novo domnio filho
Para criar um novo domnio filho >. <lique em ?niciar, clique em E6ecutar e digite dcromo ara iniciar o *ssistente ara ?nstala$o do *cti%e +irector,. 3. :a gina <omatibilidade de .istema @eracional, leia as informaes e, em seguida, clique em *%anar. .e esta a rimeira %e' que %oc instala o *cti%e +irector, em um ser%idor que e6ecuta o 2indo/s .er%er 344=, clique em *juda sobre <omatibilidade ara obter mais informaes. =. :a gina (io de <ontrolador de +om!nio, clique em <ontrolador de dom!nio ara um no%o dom!nio e, em seguida, clique em *%anar. ;. :a gina <riar :o%o +om!nio, clique em +om!nio fil"o em uma r%ore de dom!nio e6istente e, em seguida, clique em *%anar. 8. :a gina <redenciais de Aede, digite o nome de usurio, a sen"a e o dom!nio do usurio da conta de usurio que deseja usar nesta oera$o e clique em *%anar. * conta de usurio de%e ser membro do gruo *dministra$o de Emresa. B. :a gina ?nstala$o de +om!nio #il"o, %erifique o dom!nio ai, digite o no%o nome de dom!nio fil"o e clique em *%anar. C. :a gina :ome de +om!nio :etD?@., %erifique o nome :etD?@. e clique em *%anar. 9. :a gina Pastas do Danco de +ados e &og, digite o local no qual %oc deseja instalar o banco de dados e as astas de log ou clique em Procurar ara escol"er um local e, em seguida, clique em *%anar. 7. :a gina -olume de .istema <omartil"ado, digite o local onde deseja instalar a asta .,s%ol ou clique em Procurar ara escol"er um local e, em seguida, clique em *%anar. >4. :a gina +iagnstico de Aegistro de +:., %erifique se as configuraes de +:. est$o corretas e clique em *%anar. >>. :a gina Permisses, selecione uma destas oesE Permisses comat!%eis com %erses de sistemas oeracionais de ser%idor anteriores ao 2indo/s 3444 Permisses comat!%eis somente com os sistemas oeracionais de ser%idor 2indo/s 3444 ou 2indo/s .er%er 344= >3. :a gina .en"a do *dministrador do 0odo de Aestaura$o dos .er%ios de +iretrio, digite e confirme a sen"a que deseja atribuir F conta *dministrador deste ser%idor e clique em *%anar. Use esta sen"a ao iniciar o comutador no 0odo de Aestaura$o dos .er%ios de +iretrio >=. E6amine a gina Aesumo e clique em *%anar ara iniciar a instala$o. >;. Aeinicie o comutador. O)serva(es Para e6ecutar este rocedimento, %oc de%e ser um membro do gruo *dmins. do +om!nio ou *dministra$o de Emresa no *cti%e +irector,, ou a autoridade adequada de%e ter sido delegada a %oc. <omo uma rtica recomendada de segurana, use a o$o E6ecutar como ara reali'ar esse rocedimento. Para obter mais informaes, consulte Gruos locais adr$o , Gruos adr$o e Usando E6ecutar como . @ ser%idor onde %oc instalar o *cti%e +irector, usando este rocedimento ser o rimeiro controlador de dom!nio em um no%o dom!nio fil"o. *ntes de instalar o *cti%e +irector,, %oc recisar considerar n!%eis de segurana comat!%eis com as %erses anteriores do 2indo/s 3444 e identificar o nome +:. do dom!nio. Para obter mais informaes, consulte a lista de %erifica$o em (icos Aelacionados. )uando um no%o dom!nio fil"o adicionado a uma r%ore de dom!nio e6istente, uma rela$o de confiana transiti%a bidirecional criada automaticamente entre o no%o dom!nio fil"o e o dom!nio ai. *s oes do assistente na gina Permisses afetam a comatibilidade de alicati%o com sistemas oeracionais anteriores ao 2indo/s 3444 e 2indo/s .er%er 344=. *lm disso, n$o est$o relacionadas F funcionalidade do dom!nio. Para obter mais informaes sobre ermisses, consulte (icos Aelacionados. -oc tambm ode usar um cart$o inteligente ara %erificar credenciais administrati%as. Para obter mais informaes sobre cartes inteligentes, consulte (icos Aelacionados. @ *ssistente ara ?nstala$o do *cti%e +irector, ermite nomes de dom!nio do *cti%e +irector, com at B; caracteres ou at >88 b,tes. *esar de o limite de B; caracteres ser normalmente alcanado antes do limite de >88 b,tes, o contrrio ode ser %erdade se o nome conti%er caracteres Unicode que consomem trs b,tes. Esses limites n$o se alicam a nomes de comutador. -oc n$o ode instalar o *cti%e +irector, em um comutador que e6ecuta o 2indo/s .er%er 344=, 2eb Edition, mas ode ingressar o comutador em um dom!nio do *cti%e +irector, como um ser%idor membro. Para obter mais informaes sobre o 2indo/s .er%er 344=, 2eb Edition, consulte (icos Aelacionados. Criando um controlador de domnio adicional
Criando controladores de domnio adicionais Se voc8 *+ tiver um controlador de dom6nio em um dom6nio# poder+ adicionar outros controladores de dom6nio a esse dom6nio para mel.orar a disponi)ilidade e a confia)ilidade dos servios de rede& Adicionar outros controladores de dom6nio pode a*udar a fornecer toler9ncia a fal.as# equili)rar a car,a de controladores de dom6nio existentes e fornecer suporte de infra: estrutura adicional aos sites& O fato de .aver mais de um controlador de dom6nio em um dom6nio permite que o dom6nio continue a funcionar se um controlador de dom6nio fal.ar ou precisar ser desconectado& 4+rios controladores de dom6nio tam)/m podem mel.orar o desempen.o# pois facilitam a conex-o de um cliente com um controlador de dom6nio durante o lo,on na rede& 4oc8 pode adicionar outros controladores de dom6nio pela rede ou a partir de m6dia de )ac;up& Antes de adicionar controladores de dom6nio# / necess+rio entender o Active Directory e os requisitos necess+rios para confi,urar controladores de dom6nio adicionais em um dom6nio existente& 1ara o)ter mais informa(es# consulte 2.ec;list5 criando um controlador de dom6nio adicional em um dom6nio existente e 2riar um controlador de dom6nio adicional & Usando mdia de backup para criar controladores de domnio adicionais 2om o Windows !!!# a 3nica forma de criar um controlador de dom6nio adicional em um dom6nio existente / replicar todo o )anco de dados do diretrio para o novo controlador de dom6nio& <uando .+ pouca lar,ura de )anda ou um )anco de dados de diretrio ,rande# essa replica-o pode levar .oras ou dias& 2om servidores que executam o Windows Server !!"# voc8 pode criar um controlador de dom6nio adicional usando um )ac;up restaurado feito de um controlador de dom6nio que execute Windows Server !!"& $sse )ac;up pode ser arma'enado em qualquer m6dia de )ac;up =fita# 2D ou D4D> ou em um recurso compartil.ado& ?sar arquivos de )ac;up restaurados para criar um controlador de dom6nio adicional redu'ir+ )astante a lar,ura de )anda de rede usada ao instalar o Active Directory em um recurso compartil.ado% por/m# a conectividade de rede continua sendo necess+ria para que novos o)*etos e altera(es recentes em o)*etos existentes se*am replicados para o novo controlador de dom6nio& @ recomend+vel usar o )ac;up mais recente dispon6vel& Aac;ups mais anti,os requerem mais lar,ura de )anda de rede para a replica-o& O )ac;up usado n-o pode ser mais anti,o que o tempo de desativa-o do dom6nio# que / definido para B! dias# o valor padr-o =CD! dias em uma floresta criada em um servidor que executa o Windows Server !!" com Service 1ac; C ES1CF>& 2aso ten.a sido feito )ac;up de um controlador de dom6nio que contin.a uma parti-o de diretrio de aplicativos# ela n-o ser+ restaurada no novo controlador de dom6nio& 1ara o)ter informa(es so)re como criar manualmente uma parti-o de diretrio de aplicativos em um novo controlador de dom6nio# consulte 2riar ou excluir uma parti-o do diretrio de aplicativos & Ao adicionar outro controlador de dom6nio usando m6dia de )ac;up# um )ac;up de estado do sistema feito apenas com controladores de dom6nio executando o Windows Server !!" pode ser usado depois de ter sido restaurado& 1ara o)ter mais informa(es so)re como restaurar um )ac;up do estado do sistema# consulte Gestaurar dados de estado do sistema & Aumentar o nvel funcional do domnio
Aumentar o nvel funcional do domnio >. *bra +om!nios e Aelaes de <onfiana do *cti%e +irector,. 3. :a r%ore de console, clique com o bot$o direito do mouse no dom!nio cuja funcionalidade %oc deseja aumentar e, em seguida, clique em *umentar :!%el #uncional do +om!nio. =. Em .elecione um n!%el funcional de dom!nio dison!%el, siga um destes rocedimentosE Para aumentar o n!%el funcional do dom!nio ara o 2indo/s 3444 nati%o, clique em 2indo/s 3444 nati%o e, em seguida, clique em *umentar. Para aumentar o n!%el funcional do dom!nio ara o 2indo/s .er%er 344=, clique em 2indo/s .er%er 344= e, em seguida, clique em *umentar. 2uidado .e "ou%er controladores de dom!nio que e6ecutem o 2indo/s :( ;.4 e %erses anteriores, n$o aumente o n!%el funcional do dom!nio ara o 2indo/s 3444 nati%o. +eois que o n!%el funcional do dom!nio for definido ara o 2indo/s 3444 nati%o, ele n$o oder ser alterado no%amente ara o 2indo/s 3444 misto. .e %oc tem ou ter controladores de dom!nio e6ecutados no 2indo/s :( ;.4 ou anterior ou no 2indo/s 3444, n$o aumente o n!%el funcional do dom!nio ara 2indo/s .er%er 344=. )uando o n!%el funcional do dom!nio for alterado ara 2indo/s .er%er 344=, ele n$o oder %oltar a 2indo/s 3444 misto ou 2indo/s 3444 nati%o. O)serva(es Para e6ecutar este rocedimento, %oc de%e ser membro do gruo *dmins. do +om!nio no dom!nio cuja funcionalidade %oc deseja aumentar ou do gruo *dministradores de emresa no *cti%e +irector,, ou a autoridade aroriada de%e ter sido delegada a %oc. <omo rtica recomendada de segurana, use a o$o E6ecutar como ara e6ecutar esse rocedimento. Para obter mais informaes, consulte Gruos locais adr$o , Gruos adr$o e Usando E6ecutar como . Para abrir +om!nios e Aelaes de <onfiana do *cti%e +irector,, clique em ?niciar, clique em Painel de <ontrole, clique duas %e'es em #erramentas *dministrati%as e, em seguida, clique duas %e'es em +om!nios e Aelaes de <onfiana do *cti%e +irector,. Para aumentar o n!%el funcional do dom!nio, %oc tambm ode clicar com o bot$o direito do mouse em um dom!nio e6ibido em Usurios e <omutadores do *cti%e +irector, e, em seguida, clicar em *umentar :!%el #uncional do +om!nio. @ atual n!%el funcional do dom!nio e6ibido em :!%el funcional atual do dom!nio na cai6a de dilogo *umentar :!%el #uncional do +om!nio. Direo da relao de confiana
Direo da relao de confiana O tipo de rela-o de confiana e a dire-o atri)u6da ter-o impacto so)re o camin.o de confiana usado para autentica-o& ?m camin.o de confiana / uma s/rie de rela(es de confiana que os pedidos de autentica-o devem se,uir entre os dom6nios& 1ara que um usu+rio possa acessar um recurso de outro dom6nio# o sistema de se,urana em controladores de dom6nio executando Windows Server !!" deve determinar se o dom6nio confiante =aquele que cont/m o recurso que o usu+rio est+ tentando acessar> tem uma rela-o de confiana com o dom6nio confi+vel =o dom6nio de lo,on do usu+rio>& 1ara determinar isso# o sistema de se,urana calcula o camin.o de confiana entre um controlador do dom6nio confiante e um controlador do dom6nio confi+vel& Ha ilustra-o# os camin.os de confiana est-o indicados com setas que mostram a dire-o da rela-o de confiana5 7ma,em 0r+fica Iodas as rela(es de confiana de dom6nio t8m somente dois dom6nios na rela-o5 o dom6nio confiante e o dom6nio confi+vel& Relao de confiana unidirecional ?ma rela-o de confiana unidirecional / um camin.o de autentica-o unidirecional criado entre dois dom6nios& 7sso si,nifica que# em uma rela-o de confiana unidirecional entre o Dom6nio A e o Dom6nio A# os usu+rios no Dom6nio A podem acessar recursos no Dom6nio A& 1or/m# os usu+rios no Dom6nio A n-o podem acessar recursos no Dominio A& Al,umas rela(es de confiana unidirecionais podem ser uma rela-o de confiana intransitiva ou uma rela-o de confiana transitiva# dependendo do tipo de confiana que est+ sendo criado& 1ara o)ter mais informa(es so)re tipos de rela-o de confiana# consulte Iipos de rela(es de confiana & 7n6cio da p+,ina Relao de confiana bidirecional Iodas as rela(es de confiana entre dom6nios de uma floresta do Windows Server !!" s-o rela(es de confiana transitivas )idirecionais& <uando um novo dom6nio fil.o / criado# uma rela-o de confiana transitiva )idirecional / criada automaticamente entre o novo dom6nio fil.o e o dom6nio pai& $m uma rela-o de confiana )idirecional# o Dom6nio A confia no Dom6nio A e o Dom6nio A confia no Dom6nio A& 7sso si,nifica que os pedidos de autentica-o podem ser passados entre os dois dom6nios em am)as as dire(es& Al,umas rela(es )idirecionais podem ser intransitivas ou transitivas# dependendo do tipo de rela-o de confiana que est+ sendo criado& 1ara o)ter mais informa(es# consulte Iipos de rela(es de confiana & ?m dom6nio do Windows Server !!" pode esta)elecer uma rela-o de confiana unidirecional ou )idirecional com5 +om!nios do 2indo/s .er%er 344= na mesma floresta +om!nios do 2indo/s .er%er 344= de uma floresta diferente +om!nios do 2indo/s :( ;.4 (erritrios do Herberos -8 1ara o)ter mais informa(es so)re o Jer)eros 4K# consulte Autentica-o Jer)eros 4K & Praticas recomendadas para o Active Directory Introduo ao Active Directory O servio de diretrio do Active Directory pode ser instalado em servidores que executem o Microsoft Windows Server !!"# Standard $dition% Windows Server !!"# $nterprise $dition% e o Windows Server !!"# Datacenter $dition& $le arma'ena informa(es so)re o)*etos na rede e facilita o acesso de administradores e usu+rios a essas informa(es& O Active Directory usa um arma'enamento estruturado de dados como )ase para uma or,ani'a-o l,ica e .ier+rquica das informa(es de diretrio& $sse arma'enamento de dados# tam)/m con.ecido como diretrio# cont/m informa(es so)re os o)*etos do Active Directory& 0eralmente# os o)*etos incluem recursos compartil.ados como servidores# arquivos# impressoras e contas de usu+rio e de computador da rede& 1ara o)ter mais informa(es so)re o arma'enamento de dados do Active Directory# consulte Arma'enamento de dados de diretrio & A se,urana / inte,rada ao Active Directory atrav/s da autentica-o de lo,on e controle de acesso a o)*etos no diretrio& 2om um 3nico lo,on na rede# os administradores podem ,erenciar a or,ani'a-o e os dados de diretrio em suas redes e os usu+rios de rede autori'ados podem acessar recursos em qualquer lu,ar da rede& A administra-o com )ase em diretivas facilita o ,erenciamento at/ mesmo das redes mais complexas& 1ara o)ter mais informa(es so)re a se,urana do Active Directory# consulte 4is-o ,eral so)re se,urana & O Active Directory tam)/m inclui5 Um conjunto de regras, o esquema, que define as classes de objetos e atributos contidos no diretrio, as restries e os limites das ocorrncias desses objetos e o formato de seus nomes. Para obter mais informaes sobre o esquema, consulte Esquema . Um catlogo global que contm informaes sobre cada objeto no diretrio. Permite aos usurios e administradores encontrarem informaes de diretrio indeendentemente de qual dom!nio do diretrio realmente conten"a os dados. Para obter mais informaes sobre o catlogo global, consulte #un$o do catlogo global . Um mecanismo de consulta e !ndice ara que os objetos e suas roriedades ossam ser ublicados e encontrados or usurios ou alicati%os da rede. Para obter mais informaes sobre como consultar o diretrio, consulte &ocali'ar informaes de diretrio . Um ser%io de relica$o que distribui dados de diretrio em uma rede. (odos os controladores de dom!nio em um dom!nio articiam da relica$o e contm uma cia comleta de todas as informaes de diretrio referentes a seu resecti%o dom!nio. )ualquer altera$o nos dados de diretrio relicada ara todos os controladores de dom!nio no dom!nio. Para obter mais informaes sobre a relica$o do *cti%e +irector,, consulte -is$o geral sobre dulica$o . .uorte ara soft/are cliente do *cti%e +irector,, que disonibili'a %rios recursos do 0icrosoft1 2indo/s1 3444 Professional ou do 2indo/s 5P Professional ara comutadores que e6ecutem 2indo/s 78, 2indo/s 79 e 2indo/s :(1 .er%er ;.4. Para os comutadores cliente que n$o esti%erem e6ecutando o soft/are cliente do *cti%e +irector,, o diretrio ser e6ibido somente como um diretrio do 2indo/s :(. Para obter mais informaes sobre soft/are cliente, consulte <lientes do *cti%e +irector, . Relaes de confiana de floresta Relaes de confiana de floresta $m uma floresta do Windows Server !!"# voc8 pode unir duas florestas n-o li,adas do Windows Server !!" para formar uma rela-o de confiana transitiva unidirecional ou )idirecional& ?ma rela-o de confiana de floresta )idirecional / usada para formar uma rela-o de confiana transitiva entre todos os dom6nios de duas florestas& As rela(es de confiana de floresta podem conferir as se,uintes vanta,ens5 Gerenciamento simlificado de recursos entre duas florestas do 2indo/s .er%er 344= obtido com a redu$o do nImero de relaes de confiana e6ternas necessrias ara comartil"ar recursos. Aelaes de confiana bidirecionais comletas com todos os dom!nios de cada floresta. Uso da autentica$o do nome de usurio rincial JUP:K entre duas florestas. Uso dos rotocolos de autentica$o Herberos -8 e :(&0 ara mel"orar a confiabilidade dos dados de autori'a$o transferidos entre as florestas. #le6ibilidade de administra$o. *s tarefas administrati%as odem ser e6clusi%as em cada floresta. As rela(es de confiana de floresta s podem ser criadas entre duas florestas e n-o podem ser implicitamente estendidas a uma terceira floresta& 7sso si,nifica que se for criada uma rela-o de confiana entre a floresta C e a floresta e tam)/m for criada uma rela-o de confiana entre a floresta e a floresta "# a floresta C n-o ter+ uma rela-o de confiana impl6cita com a floresta "& 1ara o)ter mais informa(es so)re os requisitos necess+rios para uma rela-o de confiana de floresta# consulte <uando criar uma rela-o de confiana de floresta & !bservaes Em uma floresta do 2indo/s 3444, se os usurios de uma floresta recisarem de acesso a recursos de outra floresta, o administrador oder criar um rela$o de confiana e6terna entre os dois dom!nios. *s relaes de confiana e6ternas odem ser unidirecionais, bidirecionais e s$o intransiti%as. Portanto, limite a ossibilidade de estender as relaes de confiana a outros dom!nios. Para obter mais informaes sobre relaes de confiana e6ternas, consulte (ios de relaes de confiana . (odas as relaes de confiana do 2indo/s .er%er 344= *cti%e +irector, usam a filtragem de .?+ Jidentificador de seguranaK em algum grau. *s relaes de confiana e6terna ficam em quarentena or adr$o, o que imede que .?+s de dom!nio diferentes dos ertencentes ao dom!nio de confiana em quarentena atra%essem a rela$o de confiana. * filtragem .?+ usada ara imedir ataques de usurios malLintencionados que odem tentar conceder direitos de usurio ele%ados a outra conta de comutador. * filtragem .?+ em relaes de confiana de floresta n$o imede que migraes ara dom!nios dentro da mesma floresta usem o "istrico .?+ e n$o afetar sua estratgia de controle de acesso de gruo uni%ersal. Para obter mais informaes sobre relaes de confiana e6ternas, consulte )uando criar uma rela$o de confiana e6terna . "erenciando um ambiente com v#rias florestas As rela(es de confiana de floresta a*udam a ,erenciar uma infra:estrutura do Active Directory se,mentada da or,ani'a-o por meio de suporte ao acesso a recursos e outros o)*etos das v+rias florestas& 1ara o)ter mais informa(es so)re como acessar recursos em v+rias florestas# consulte Acessando recursos entre florestas & 2omo cada floresta pode ser administrada separadamente# a inclus-o de florestas adicionais na or,ani'a-o aumenta as necessidades de ,erenciamento& 1ara o)ter mais informa(es# consulte 2riando uma nova floresta & Os motivos para criar diversas florestas na or,ani'a-o incluem5 Proteger dados em cada floresta. @s dados confidenciais odem ser rotegidos ara que somente os usurios da floresta em quest$o ossam acessLlos. ?solar a relica$o de diretrio em cada floresta. *s alteraes de esquema e de configura$o, e a adi$o de no%os dom!nios a uma floresta afetam toda essa floresta aenas, e n$o em uma floresta confiante. Dele$ando controle administrativo em toda a floresta Os dados do Active Directory arma'enados nos recipientes de esquema e de confi,ura-o s-o replicados em cada controlador de dom6nio da floresta& 2omo as altera(es efetuadas nos recipientes de esquema e de confi,ura-o afetam todos os dom6nios da floresta# o controle administrativo das altera(es em toda a floresta deve ser confiado a administradores )em treinados e experientes& Iodos os dados de dom6nio contidos no dom6nio rai' da floresta tam)/m devem ser considerados como dados altamente confidenciais& Os se,uintes ,rupos oferecem controle administrativo de toda a floresta em cada floresta5 Administradores de empresa Admins. do Domnio Jno dom!nio rai' da florestaK Administradores de esquema L+ que a participa-o em qualquer desses ,rupos pode afetar o comportamento em toda a floresta# adicione usu+rios com cautela& 2omo pr+tica recomendada de se,urana# evite adicionar usu+rios de outra floresta a qualquer desses ,rupos administrativos em toda a floresta& 1ara o)ter mais informa(es so)re esses ,rupos# consulte 0rupos padr-o & %incroni&ando dados entre as florestas 4oc8 pode sincroni'ar listas de endereo ,lo)ais =0AMs> e o)*etos entre florestas usando o MMS =servios de metadiretrio da Microsoft> ou uma outra ferramenta de sincroni'a-o que ten.a suporte& Os tipos de dados comuns que precisam de sincroni'a-o entre florestas incluem5 G*&s JE6c"angeK Pastas Iblicas @bjetos de diretrio A sincroni'a-o desses dados entre florestas a*udar-o os usu+rios finais a verem listas de endereos e outros dados da mesma maneira quando verificam essas informa(es em sua prpria floresta& 1ara o)ter mais informa(es so)re o MMS# consulte Microsoft Metadirectory Services =site em in,l8s>& Renomeando Domnios Windows erver !""# Active Directory Domain Rename $ools ?pdated5 Au,ust CN# !!O Do'nloadAead 0e #irst (indo's %erver )**+ Active Directory Domain Rename ,ools "BO JA ?pdated5 Au, CN# !!O Understandin$ -o' Domain Rename (orks "!! JA Microsoft Word file ?pdated5 Dec CD# !!" 0et Office Pile 4iewers %tep.by.%tep "uide to Implementin$ Domain Rename CQK JA Microsoft Word file ?pdated5 Au, CB# !!O I.e Windows Server !!" Active Directory Domain Gename Iools provide a security:en.anced and supported met.odolo,y to rename one or more domains =as well as application directory partitions> in a deployed Active Directory forest& I.e DHS name and t.e HetA7OS name of a domain can )e c.an,ed usin, t.e domain rename procedure& Por an understandin, of t.e constraints of t.e domain rename procedure# please see t.e accompanyin, document# R?nderstandin, Sow Domain Gename Wor;s#R availa)le on t.is pa,e& /ote0 I.ese tools are for use wit. Windows Server !!" only& Do not use t.em wit. Windows !!!& Important0 I.e domain rename operation and t.e use of t.e domain rename tools is not supported in an Active Directory forest t.at .as any version of Microsoft $xc.an,e Server prior to $xc.an,e Server !!" S1C deployed in it& I.e latest version of t.e domain rename tools t.at are availa)le for download are as follows5 1atest 2ersion5 rendom&exe version C&O# ,pfixup&exe version C&C Release Date5 Au,ust CB# !!O Do'nload %tatistics5 "BO JA download file# B! seconds T D&D ;)ps Uou can c.ec; t.e version num)er of eac. tool )y runnin, t.e tool wit. t.e RVWR command:line switc.& 7f you do not .ave t.e latest version of t.ese tools as specified .ere# you can download t.em from t.is pa,e =see Sow to Download and 7nstall# )elow>& Iop of pa,e Documents Hote t.at implementin, domain rename is a complex underta;in, t.at requires t.orou,. plannin, and a ,ood understandin, of t.e domain rename procedure& I.e two documents on t.is pa,e are desi,ned to .elp you understand t.e process and ,uide you t.rou,. t.e procedure step )y step& Por an understandin, of w.ere t.e domain rename process is applica)le# its constraints# and .ow it wor;s# please review t.e document R?nderstandin, Sow Domain Gename Wor;s&R Por a step:)y:step ,uide to plannin, and implementin, t.e domain rename procedure# please review t.e document RStep:)y:Step 0uide to 7mplementin, Domain Gename&R Iop of pa,e %ystem Re3uirements Io perform t.e domain rename procedure# you must )e runnin, one of t.e followin, versions of Windows Server !!" or .i,.er on every domain controller in t.e forest in w.ic. t.e domain rename is to )e performed5 Windows Server !!"# Standard $dition Windows Server !!"# $nterprise $dition Windows Server !!"# Datacenter $dition Iop of pa,e 1an$ua$e %upport I.e domain rename tools can )e used on all lan,ua,e versions of Windows Server !!"& I.ere are no lan,ua,e:specific versions of t.e tools& Iop of pa,e -o' to Do'nload and Install C& 2lic; t.e (indo's %erver )**+ Active Directory Domain Rename ,ools lin; at t.e top of t.is pa,e& & W.en t.e Pile Download dialo, )ox appears# select %ave or %ave this pro$ram to disk& "& 2.oose a location on your computer to save t.e file# and t.en clic; %ave& Iop of pa,e -o' to Use C& 0o to t.e location w.ere you saved t.e downloaded file# and t.en dou)le:clic; t.e file to launc. t.e installation wi'ard& & Geview t.e contents of t.e two documents referenced in t.e Documents section a)ove for a t.orou,. understandin, of t.e domain rename process and a step:)y:step ,uide to t.e domain rename procedure& Iop of pa,e -o' to Uninstall 0o to t.e location w.ere you saved t.e downloaded file# and t.en delete t.e downloaded file as well as t.e individual tools t.at were extracted&
$ipos de relao de confiana
,ipos de relao de confiana A comunica-o entre dom6nios ocorre por rela(es de confiana& As rela(es de confiana s-o canais de autentica-o que devem estar presentes para que os usu+rios em um dom6nio acessem recursos em outro dom6nio& Duas rela(es de confiana padr-o s-o criadas quando se usa o X)YAssistente para instala-o do Active DirectoryXV)Y& S+ quatro tipos de rela(es de confiana que podem ser criados usando o X)YAssistente de nova rela-o de confianaXV)Y ou a ferramenta de lin.a de comando Hetdom& Relaes de confiana padro 1or padr-o# rela(es de confiana transitivas )idirecionais s-o criadas automaticamente quando um novo dom6nio / adicionado a uma +rvore de dom6nio ou dom6nio rai' de floresta usando o Assistente para 7nstala-o do Active Directory& Os dois tipos de rela(es de confiana padr-o s-o definidos na ta)ela a se,uir& ,ipo de relao de confiana ,ransitividade Direo Descrio Pai e fil"o (ransiti%a Didirecional Por adr$o, quando um no%o dom!nio fil"o adicionado a uma r%ore de dom!nio e6istente, uma no%a rela$o de confiana criada automaticamente entre o dom!nio fil"o e o dom!nio ai. *s solicitaes de autentica$o feitas a artir de dom!nios subordinados fluem em dire$o ascendente elo ai ara o dom!nio confiante. Para obter informaes sobre como criar um no%o dom!nio fil"o, consulte <riar um no%o dom!nio fil"o . Aai' de r%ore (ransiti%a Didirecional Por adr$o, quando uma no%a r%ore de dom!nio criada em uma floresta e6istente, uma no%a rela$o de confiana de rai' de r%ore estabelecida. Para obter informaes sobre como criar uma no%a r%ore de dom!nio, consulte <riar uma no%a r%ore de dom!nio . !utras relaes de confiana <uatro outros tipos de rela(es de confiana podem ser criados usando o X)YAssistente de nova rela-o de confianaXV)Y ou a ferramenta de lin.a de comando Hetdom5 rela(es de confiana externas# de territrio# de floresta e de atal.o& $ssas rela(es de confiana est-o definidas na ta)ela a se,uir& ,ipo de relao de confiana ,ransitividade Direo Descrio E6terna ?ntransiti%a Unidirecional ou bidirecional Use relaes de confiana e6ternas ara fornecer acesso a recursos locali'ados em um dom!nio do 2indo/s :( ;.4 ou em um dom!nio locali'ado em uma floresta searada, que n$o sejam unidos or uma rela$o de confiana de floresta. Para obter mais informaes, consulte )uando criar uma rela$o de confiana e6terna . (erritrio (ransiti%a ou intransiti%a Unidirecional ou bidirecional Use relaes de confiana de territrio ara formar uma rela$o de confiana entre um territrio Herberos n$oL2indo/s e um dom!nio do 2indo/s .er%er 344=. Para obter mais informaes, consulte )uando criar uma rela$o de confiana de territrio . #loresta (ransiti%a Unidirecional ou bidirecional Use relaes de confiana de floresta ara comartil"ar recursos entre florestas. .e uma rela$o de confiana de floresta uma rela$o de confiana bidirecional, as solicitaes de autentica$o feitas em qualquer das florestas odem alcanar a ,ipo de relao de confiana ,ransitividade Direo Descrio outra floresta. Para obter mais informaes, consulte )uando criar uma rela$o de confiana de floresta . *tal"o (ransiti%a Unidirecional ou bidirecional Use relaes de confiana de atal"o ara mel"orar o logon do usurio entre dois dom!nios em uma floresta do 2indo/s .er%er 344=. ?sso Itil quando dois dom!nios est$o searados or duas r%ores de dom!nio. Para obter mais informaes, consulte )uando criar uma rela$o de confiana de atal"o . Ao criar rela(es de confiana externas# de atal.o# de territrio ou de floresta# voc8 tem a op-o de criar cada lado da rela-o de confiana separadamente ou os dois lados simultaneamente& Se voc8 optar por criar cada lado da rela-o de confiana separadamente# precisar+ executar o Assistente de Hova Gela-o de 2onfiana duas ve'es::uma para cada dom6nio& Ao criar rela(es de confiana usando o m/todo# voc8 precisar+ fornecer a mesma sen.a de rela-o de confiana para cada dom6nio& 2omo uma pr+tica de se,urana recomendada# todas as rela(es de confiana devem ter sen.as de alto n6vel& 1ara o)ter mais informa(es# consulte Sen.as de alta se,urana & Se voc8 optar por criar os dois lados da rela-o de confiana simultaneamente# precisar+ executar o X)YAssistente de nova rela-o de confianaXV)Y uma ve'& <uando voc8 escol.e esta op-o# uma sen.a de rela-o de confiana de alto n6vel / ,erada automaticamente para voc8& 4oc8 precisar+ ter as credenciais administrativas apropriadas para cada dom6nio entre os quais estar+ criando uma rela-o de confiana& O Hetdom&exe tam)/m pode ser utili'ado tam)/m para criar rela(es de confiana& 1ara o)ter mais informa(es so)re o Hetdom# consulte Perramentas de suporte do Active Directory & $ransitividade da relao de confiana
,ransitividade da relao de confiana A transitividade determina se uma rela-o de confiana pode ser estendida para fora dos dois dom6nios com os quais foi formada& ?ma rela-o de confiana transitiva pode ser usada para estender relacionamentos de confiana com outros dom6nios e uma rela-o de confiana intransitiva pode ser usada para ne,ar rela(es de confiana com outros dom6nios& Relaes de confiana transitivas Sempre que voc8 cria um novo dom6nio em uma floresta# uma rela-o de confiana transitiva )idirecional / criada automaticamente entre o novo dom6nio e seu dom6nio pai& Se dom6nios fil.o forem adicionados ao novo dom6nio# o camin.o de confiana move:se para cima pela .ierarquia de dom6nio# estendendo o camin.o de confiana inicial criado entre o novo dom6nio e seu dom6nio pai& As rela(es de confiana transitivas movem:se para cima na +rvore de dom6nio conforme ela / formada# criando rela(es de confiana transitivas entre todos os dom6nios na +rvore de dom6nio& Os pedidos de autentica-o se,uem esses camin.os de confiana# de forma que as contas de um dom6nio da floresta podem ser autenticadas em qualquer outro dom6nio da mesma floresta& 2om um 3nico processo de lo,on# as contas que cont8m as permiss(es adequadas podem acessar recursos em qualquer dom6nio na floresta& 1ara o)ter mais informa(es# consulte 4is-o ,eral so)re os protocolos de autentica-o & 7ma,em 0r+fica O dia,rama exi)e todos os dom6nios em uma +rvore do Dom6nio A e todos os dom6nios em uma +rvore do Dom6nio A que t8m rela(es de confiana transitivas por padr-o& 2omo resultado# os usu+rios na +rvore do Dom6nio A podem acessar recursos em dom6nios na +rvore do Dom6nio C e os usu+rios na +vore do Dom6nio C podem acessar recursos na +rvore do Dom6nio A# quando as permiss(es apropriadas s-o atri)u6das no recurso& Al/m das rela(es de confiana transitivas padr-o esta)e7ecidas em uma floresta do Windows Server !!"# usando o Assistente de nova rela-o de confiana voc8 pode criar manualmente as se,uintes rela(es de confiana transitiva& Aela$o de confiana de atal"o. Uma rela$o de confiana transiti%a entre um dom!nio na mesma r%ore de dom!nio ou floresta, usada ara diminuir o camin"o de confiana em r%ores de dom!nio e florestas grandes e comle6as. Aela$o de confiana de floresta. Uma rela$o de confiana transiti%a entre um dom!nio rai' de floresta e um segundo dom!nio rai' de floresta. Aela$o de confiana de territrio. Uma rela$o de confiana transiti%a entre um dom!nio do *cti%e +irector, e um territrio do Herberos -8. Para obter mais informaes sobre territrios do Herberos -8, consulte *utentica$o Herberos -8 . 1ara o)ter mais informa(es so)re tipos de rela-o de confiana# consulte Iipos de rela(es de confiana & Relao de confiana intransitiva ?ma rela-o de confiana intransitiva / limitada pelos dois dom6nios da rela-o de confiana e n-o flui para outros dom6nios da floresta& ?ma rela-o de confiana intransitiva pode ser uma rela-o de confiana )idirecional ou uma rela-o de confiana unidirecional& As rela(es de confiana intransitivas s-o unidirecionais por padr-o# em)ora voc8 tam)/m possa criar uma rela-o )idirecional atrav/s da cria-o de duas rela(es de confiana unidirecionais& Gesumindo# as rela(es de confiana intransitivas entre dom6nios s-o a 3nica forma poss6vel de rela-o de confiana entre5 Um dom!nio do 2indo/s .er%er 344= e um dom!nio do 2indo/s :( Um dom!nio do 2indo/s .er%er 344= em uma floresta e um dom!nio em outra floresta Jquando n$o associados or uma rela$o de confiana de florestaK ?sando o X)YAssistente de nova rela-o de confianaXV)Y# voc8 cria manualmente as se,uintes rela(es de confiana intransitivas5 Aela$o de confiana e6terna. Uma rela$o de confiana intransiti%a criada entre um dom!nio do 2indo/s .er%er 344= e um dom!nio do 2indo/s 3444 ou um dom!nio do 2indo/s .er%er 344= em outra floresta. )uando %oc atuali'ar um dom!nio do 2indo/s :( ara um dom!nio do 2indo/s .er%er 344=, todas as relaes de confiana e6istentes do 2indo/s :( ser$o reser%adas. (odas as rela$o entre os dom!nios do 2indo/s .er%er 344= e do 2indo/s :( s$o n$oLtransiti%as. Aela$o de confiana de territrio. Uma rela$o de confiana intransiti%a entre um dom!nio do *cti%e +irector, e um territrio do Herberos -8. Para obter mais informaes sobre territrios do Herberos -8, consulte *utentica$o Herberos -8 . 1ara o)ter mais informa(es so)re tipos de rela-o de confiana# consulte Iipos de rela(es de confiana & 3 ESTRELA Aumentando os nveis funcionais do domnio e da floresta <uando o Active Directory / instalado em um servidor que executa o Windows Server !!"# um con*unto de recursos )+sicos do Active Directory / .a)ilitado por padr-o& 1ara o)ter mais informa(es so)re os novos recursos padr-o# consulte Hovos recursos do Active Directory & Al/m dos recursos )+sicos do Active Directory em controladores de dom6nio individuais# .+ novos recursos para todo o dom6nio e toda a floresta disponi)ili'ados quando todos os controladores de dom6nio de um dom6nio ou de uma floresta executam o Windows Server !!"& 1ara .a)ilitar os novos recursos para todo o dom6nio# todos os controladores de dom6nio no dom6nio precisam estar executando o Windows Server !!" e o n6vel funcional do dom6nio precisa ser aumentado para Windows Server !!"& 1ara o)ter informa(es so)re como aumentar o n6vel funcional do dom6nio# consulte Aumentar o n6vel funcional do dom6nio & 1ara .a)ilitar os novos recursos para toda a floresta# todos os controladores de dom6nio da floresta precisam estar executando o Windows Server !!" e o n6vel funcional da floresta deve ser aumentado para Windows Server !!"& Antes de aumentar o n6vel funcional da floresta para Windows Server !!"# verifique se todos os dom6nios da floresta est-o definidos para o n6vel funcional de dom6nio do Windows !!! nativo ou do Windows Server !!"& Mem)re:se de que os dom6nios definidos com o n6vel funcional de dom6nio do Windows !!! nativo ser-o aumentados automaticamente para Windows Server !!" quando o n6vel funcional da floresta for aumentado para Windows Server !!"& 1ara o)ter informa(es so)re como aumentar o n6vel funcional da floresta# consulte Aumentar o n6vel funcional da floresta & Aumentar o nvel funcional do domnio
Aumentar o nvel funcional do domnio >. *bra +om!nios e Aelaes de <onfiana do *cti%e +irector,. 3. :a r%ore de console, clique com o bot$o direito do mouse no dom!nio cuja funcionalidade %oc deseja aumentar e, em seguida, clique em *umentar :!%el #uncional do +om!nio. =. Em .elecione um n!%el funcional de dom!nio dison!%el, siga um destes rocedimentosE Para aumentar o n!%el funcional do dom!nio ara o 2indo/s 3444 nati%o, clique em 2indo/s 3444 nati%o e, em seguida, clique em *umentar. Para aumentar o n!%el funcional do dom!nio ara o 2indo/s .er%er 344=, clique em 2indo/s .er%er 344= e, em seguida, clique em *umentar. 2uidado .e "ou%er controladores de dom!nio que e6ecutem o 2indo/s :( ;.4 e %erses anteriores, n$o aumente o n!%el funcional do dom!nio ara o 2indo/s 3444 nati%o. +eois que o n!%el funcional do dom!nio for definido ara o 2indo/s 3444 nati%o, ele n$o oder ser alterado no%amente ara o 2indo/s 3444 misto. .e %oc tem ou ter controladores de dom!nio e6ecutados no 2indo/s :( ;.4 ou anterior ou no 2indo/s 3444, n$o aumente o n!%el funcional do dom!nio ara 2indo/s .er%er 344=. )uando o n!%el funcional do dom!nio for alterado ara 2indo/s .er%er 344=, ele n$o oder %oltar a 2indo/s 3444 misto ou 2indo/s 3444 nati%o. O)serva(es Para e6ecutar este rocedimento, %oc de%e ser membro do gruo *dmins. do +om!nio no dom!nio cuja funcionalidade %oc deseja aumentar ou do gruo *dministradores de emresa no *cti%e +irector,, ou a autoridade aroriada de%e ter sido delegada a %oc. <omo rtica recomendada de segurana, use a o$o E6ecutar como ara e6ecutar esse rocedimento. Para obter mais informaes, consulte Gruos locais adr$o , Gruos adr$o e Usando E6ecutar como . Para abrir +om!nios e Aelaes de <onfiana do *cti%e +irector,, clique em ?niciar, clique em Painel de <ontrole, clique duas %e'es em #erramentas *dministrati%as e, em seguida, clique duas %e'es em +om!nios e Aelaes de <onfiana do *cti%e +irector,. Para aumentar o n!%el funcional do dom!nio, %oc tambm ode clicar com o bot$o direito do mouse em um dom!nio e6ibido em Usurios e <omutadores do *cti%e +irector, e, em seguida, clicar em *umentar :!%el #uncional do +om!nio. @ atual n!%el funcional do dom!nio e6ibido em :!%el funcional atual do dom!nio na cai6a de dilogo *umentar :!%el #uncional do +om!nio. Informaes sobre diferenas funcionais @ seu ser%idor ode funcionar de forma diferente deendendo da %ers$o e edi$o do sistema oeracional instalado, das ermisses da conta e das configuraes de menu. Para obter mais informaes, consulte E6ibindo a *juda na 2eb .