Entendendo Active Directory

Aprenda aqui conceitos tericos sobre os diversos elementos que compem o Active
Directory. Desta forma, podemos ter uma viso ampla e completa do que exatamente o
Active Directory.
O Active Directory o servio de diretrios do Windows Server 2003. Um Servio de
Diretrio um servio de rede, o qual identifica todos os recursos disponveis em uma
rede, mantendo informaes sobre estes dispositivos (contas de usurios, grupos,
computadores, recursos, polticas de segurana etc.) em um banco de dados e torna estes
recursos disponveis para usurios e aplicaes.
Afinal, o que Diretrio? Um diretrio nada mais do que um cadastro ou, melhor ainda,
um banco de dados com informaes sobre usurios, senhas e outros elementos
necessrios ao funcionamento de um sistema, quer seja um conjunto de aplicaes no
Mainframe, um grupo de servidores da rede local, o sistema de e-mail ou outro sistema
qualquer.
Imagine uma empresa onde o usurio, para realizar o seu trabalho dirio, tem que acessar
aplicaes e servios em diferentes plataformas e modelos: No Mainframe, em aplicaes
cliente/servidor, sistemas de e-mail, intranet da empresa e alm desta variedade de
aplicaes, voc tambm precisa de acesso aos recursos bsicos da rede, tais como
pastas e impressoras compartilhadas.
Para piorar um pouco a situao, a senha do Mainframe expira, por exemplo, a cada 30
dias e no pode repetir as ltimas 5 senhas. A da rede expira a cada 60 dias e no pode
repetir as ltimas 13. A do e-mail expira a cada 45 dias e ele no pode repetir as ltimas
10. O que tem a ver este monte de senha com o conceito de Diretrio? Tem muito a ver.
Observe que em cada ambiente existe um banco de dados para cadastro do nome de
usurio, senha e outras informaes, como por exemplo seo, matrcula e assim por
diante. Este banco de dados, com informaes sobre usurios da rede, um exemplo
tpico de diretrio.
A proposta da Microsoft que, aos poucos, as aplicaes sejam integradas com o Active
Directory. O que seria uma aplicao integrada com o Active Directory? Seria uma
aplicao que, ao invs de ter o seu prprio cadastros de usurios, senhas e grupos (seu
prprio diretrio), fosse capaz de acessar as contas e grupos do Active Directory e atribuir
as permisses de acesso diretamente s contas e grupos do Active Directory. Por
exemplo, vamos supor que voc utilize o Exchange 2003 como servidor de e-mail. Este
um exemplo de aplicao que j integrada com o Active Directory. Ao instalar o
Exchange 2003, este capaz de acessar a base de usurios do Active Directory e voc
pode criar contas de e-mail para os usurios do Active Directory.

Chegar o dia do logon nico, quando todas as aplicaes forem ou diretamente

integradas com o Active Directory, ou capazes de acessar a base de usurios do Active
Directory e atribuir permisses de acesso aos usurios e grupos do Active Directory.
Domnio
O conjunto de servidores, estaes de trabalho, bem como as informaes do diretrio,
que formam uma unidade conhecida como Domnio. Todos os servidores que contm uma
cpia da base de dados do Active Directory fazem parte do domnio.
Um domnio pode tambm ser definido como um limite administrativo e de segurana. Ele
um limite administrativo, pois as contas de Administrador tm permisses de acesso em
todos os recursos do domnio, mas no em recursos de outros domnios. Ele um limite
de segurana porque cada domnio tem definies de polticas de segurana que se
aplicam s contas de usurios e demais recursos dentro do domnio e no a outros
domnios. Um domnio baseado no Active Directory e no Windows Server 2003 possvel
ter dois tipos de servidores Windows Server 2003:
. Controladores de Domnio (DC Domain Controlers)
. Servidores Membro (Member Servers)
Um Domnio simplesmente um agrupamento lgico de contas e recursos, os quais
compartilham polticas de segurana.
A criao de conta de usurios, grupos de usurios e outros elementos do Active Directory,
bem como alteraes nas contas de usurios, nas polticas de segurana e em outros
elementos do Active Directory, podem ser feitas em qualquer um dos Controladores de
Domnios. Uma alterao feita em um DC ser automaticamente repassada (o termo
tcnico replicada) para os demais Controladores de Domnio. Por isso que o Domnio
transmite a ideia de um agrupamento lgico de Contas de usurios e grupos, bem como
de polticas de segurana, uma vez que todo o Domnio compartilha a mesma lista de
usurios, grupos e polticas de segurana.
Nos Servidores Membros podem ser criadas contas de usurios e grupos, as quais
somente sero validas no Servidor Membro onde foram criadas. Embora isso seja
tecnicamente possvel, essa uma prtica no recomendada, uma vez que isso dificulta
enormemente a administrao de um Domnio.
Os DCs compartilham uma lista de usurios, grupos e polticas de segurana e tambm
so responsveis por fazer a autenticao dos usurios na rede, j os servidores membros
no possuem uma cpia da lista de usurio e grupos, estes no efetuam a autenticao
dos clientes e tambm no armazenam informaes sobre as polticas de segurana para
o Domnio as quais tambm so conhecidas por GPO Group Policies Objects.
Os recursos de segurana so integrados com o Active Directory atravs do mecanismo
de logon e autenticao. Todo usurio tem que fazer o logon (informar o seu nome de
usurio e senha), para ter acesso aos recursos da rede. Durante o logon, o Active

Directory verifica se as informaes fornecidas pelo usurio esto corretas e ento libera o
acesso aos recursos para os quais o usurio tem permisso de acesso.
Os recursos disponveis atravs do Active Directory, so organizados de uma maneira
hierrquica, atravs do uso de Domnios. Uma rede na qual o Active Directory est
instalado pode ser formada por um ou mais domnios. Como a utilizao do Active
Directory, um usurio somente precisa estar cadastrado em um nico Domnio, sendo que
este usurio pode receber permisses para acessar recursos de qualquer um dos
Domnios.
A utilizao do Active Directory simplifica em muito a administrao, pois fornece um local
centralizado, atravs do qual os recursos da rede podem ser administrados.
O Active Directory utiliza o DNS (Domain Name System) como servio de nomeao de
servidores e recursos e de resoluo de nomes. Por isso, um dos pr-requisitos para que o
Active Directory possa ser instalado e funcionar perfeitamente que o DNS deve estar
instalado
e
corretamente
configurado.
Um usurio cadastrado em um Domnio pode receber permisses para acessar recursos
de outros Domnios, o Windows Server 2003 cria e mantm relao de confiana entre os
diversos Domnios. As relaes de confiana so bidirecionais e transitivas.
Todo Domnio possui as seguintes caractersticas:
. Todos os Objetos de uma rede (contas de usurios, grupos, impressoras, polticas de
segurana, etc.) fazem parte de um nico domnio. Cada domnio somente armazena
informaes sobre os objetos do prprio domnio. Cada domnio possui suas prprias
polticas de segurana.
rvore de Domnios
Uma rvore nada mais do que um agrupamento ou arranjo hierrquico de um ou mais
domnios do Windows Server 2003, os quais compartilham um espao de nome.

Unidades Organizacionais
Uma Unidade Organizacional uma diviso que pode ser utilizada para organizar os
objetos de um determinado domnio em um agrupamento lgico para efeitos de

administrao. Isso resolve uma srie de problemas que existiam em redes baseadas no
NT Server 4.0. Com a utilizao de unidades organizacionais, possvel restringir os
direitos administrativos apenas em nvel da Unidade Organizacional sem que, com isso, o
usurio tenha poderes sobre todos os demais objetos do Domnio.
Utilize Unidades Organizacionais quando quiser delegar tarefas administrativas sem que,
para isso, tenha que dar poderes administrativos em todo o Domnio ou para melhorar
alteraes na estrutura da sua companhia. A infraestrutura das OUs no deve-se basear
na estrutura organizacional da companhia, mas sim na infraestrutura da poltica da rede.
Objetos do Active Directory
. Contas de Usurios
Uma conta de usurio um objeto de Active Directory, o qual contm diversas informaes
sobre o usurio. Para ter acesso aos recursos dos computadores do domnio deve ser
cadastrado no Active Directory.
. Contas de Computador
Todo computador que faz parte do domnio, seja uma estao de trabalho ou servidor
membro,
deve
ter
uma
conta
de
computador
no
Active
Directory.
Quando voc adiciona uma mquina no domnio, automaticamente criado uma conta de
computador.
Estaes rodando Windows 95/98/ME, no cria conta de computador no Active Directory.
. Grupo de Usurios
Responsvel para facilitar a administrao e a atribuio de permisses para acesso a
recursos, tais como: pastas compartilhadas, impressoras remotas, servios diversos etc.