UNIVERSIDADE POLITÉCNICA- A POLITÉCNICA

Instituto Superior de Humanidades, Ciências e Tecnologias-

ISHCT

Licenciatura em Engenharia Informática e de Telecomunicações

Microsoft  Active Directory

Discente:

Furumula Octávio Alberto Bazo

Docente:

Dr. Ivane carim

Quelimane, Outubro de 2021

Furumula Octávio Alberto Bazo

Microsoft  Active Directory

Trabalho de carácter avaliativo a ser apresentado

na cadeira de planeamento e Gestão de rede,
para Docente:

Dr. Ivan Carim

Quelimane, Outubro de 2021

Índice
Microsoft  Active Directory..............................................................................................1
Microsoft  Active Directory..............................................................................................1
Introdução..........................................................................................................................3
Objectivos..........................................................................................................................4
Metodologia.......................................................................................................................4
Microsoft  Active Directory..............................................................................................5
Como o Active Directory funciona...................................................................................7
Como o Active Directory está estruturado........................................................................7
Banco de dados do Active Directory.................................................................................8
Serviços do active Directory.............................................................................................9
Active Directory versus grupo de trabalho.....................................................................10
Principais recursos nos serviços de domínio Active directory........................................10
Características do Active Directory.................................................................................11
Estrutura do active directory...........................................................................................11
Funções do Active Directory..........................................................................................12
Funções FSMO................................................................................................................12
As partições do Active Directory....................................................................................13
Conclusão........................................................................................................................14
Referência bibliográfica..................................................................................................15

2
Introdução
O Active Director (AD) é um produto da Microsoft que consiste em vários serviços
executados no Windows Server para gerenciar permissões e a cessar permissões e a
cesso a recursos de rede.

O Active Director armazena dados como objectos. Um objecto é um único elemento,

como um usuário, grupo aplicativo ou dispositivos, como uma impressora. Os objectos
são normalmente definida como recursos como impressoras ou computadores ou
objectivos de segurança como usuários ou grupos.

Cadeia de nomes, junto com as informações associadas ao usuário, como senha e chaves
SSH (Secure Shell).

3
Objectivos
Este trabalho tratará dos objectivos gerais e específicos.

Objectivo Geral

Demonstrar as características do Active Directory e como funciona,

Objectivo específico

 Monstra as partições suas funcionalidades Active Directory .

 Detalhar as suas estruturas lógicas assim com a física.

Metodologia
A metodologia usada para a realização deste trabalho foi a consulta bibliográfica, que
consistiu na leitura e análise das informações de diversos livros e pesquisa na internet
que se debruçam sobre o tema acima mencionado.

4
Microsoft  Active Directory 
é uma implementação de serviço de diretório no protocolo LDAP que armazena
informações sobre objetos em rede de computadores e disponibiliza essas informações a
usuários e administradores desta rede. É um software da Microsoft utilizado em
ambientes Windows, presentes no active directory.

O Active Directory, a exemplo do NIS, surgiu da necessidade de se ter um único

diretório, ou seja, em vez de o usuário ter uma senha para acessar o sistema principal da
empresa, uma senha para ler seus e-mails, uma senha para se logar no computador, e
várias outras senhas, com a utilização do AD, os usuários poderão ter apenas uma senha
para acessar todos os recursos disponíveis na rede. Podemos definir um diretório como
sendo um banco de dados que armazena as informações dos usuários.

O AD surgiu juntamente com o Windows 2000 Server. Objetos como usuários, grupos,
membros dos grupos, senhas, contas de computadores, relações de confiança,
informações sobre o domínio, unidades organizacionais, etc, ficam armazenados no
banco de dados do AD. Além de armazenar vários objetos em seu banco de dados, o AD
disponibiliza vários serviços, como: autenticação dos usuários, replicação do seu banco
de dados, pesquisa dos objetos disponíveis na rede, administração centralizada da
segurança utilizando GPO, entre outros serviços. Esses recursos tornam a administração
do AD bem mais fácil, sendo possível administrar todos os recursos disponíveis na rede
centralizadamente.

Para que os usuários possam acessar os recursos disponíveis na rede, estes deverão
efetuar o logon. Quando o usuário efetua logon, o AD verifica se as informações
fornecidas pelos usuários são válidas, e em caso positivo, faz a autenticação. O AD é
organizado de uma forma hierárquica, com o uso de domínios. Caso uma rede utilize o
AD, poderá conter vários domínios. Um domínio é nada mais do que um limite
administrativo e de segurança, ou seja, o administrador do domínio possui permissões
somente no domínio, e não em outros domínios. As políticas de segurança também se
aplicam somente ao domínio, e não a outros domínios. Resumindo: diferentes domínios
podem ter diferentes administradores e diferentes políticas de segurança.

Nos domínios baseados no AD, podemos ter dois tipos de servidores: Controlador de
Domínio (DC – Domain Controller) e Servidor Membro (Member Server).

5
Para a instalação do AD é necessário que o serviço DNS esteja disponível, ou seja, é um
pré-requisito (dependência) para a instalação do AD. O AD utiliza o DNS para a
nomeação de servidores e recursos, e também para resolução de nomes. Caso o serviço
DNS não esteja disponível na rede durante a instalação do AD, poderemos instalá-lo
durante a instalação do AD.

Com a utilização de domínios, podemos fazer com que nossa rede reflita a estrutura de
uma empresa. Quando utilizamos vários domínios temos o conceito de relação de
confiança. A relação de confiança permite que os usuários de ambos os domínios
acessem os recursos localizados nesses domínios. No Windows 2000, as relações de
confianças são bidirecionais e transitivas, ou seja, se o domínio X confia no domínio Y,
e Y confia no domínio W, o domínio X também confia no domínio W.

O "diretório ativo" permite que os administradores atribuam à empresa políticas gerais,

instalem programas em um grande número de computadores e apliquem updates críticos
a uma organização inteira. O "diretório ativo" armazena informações e parâmetros em
uma base de dados central organizada e acessível.

As redes ativas do diretório podem variar desde uma instalação pequena, com cem
objetos, a uma instalação grande, com milhões de objetos. O Active Directory teve uma
pré-estreia em 1999 e foi lançado primeiramente com o Windows 2000. Mais tarde, foi
revisado para estender a sua funcionalidade e melhorar a administração para uma nova
versão, conhecida como 'Windows Server 2003'. Também presente no Windows Server
2008.

O Active Directory é um conjunto de arquivos localizados no servidor de domínio, no

qual estão todas as informações que permitem controlar o acesso dos usuários à rede.
Nele ficam registrados os nomes e senhas de usuários, suas permissões de acesso a
arquivos, impressoras e outros recursos da rede, as cotas de disco, os computadores e
horários que cada usuário pode utilizar, etc.

O Active Directory está relacionado a

 Gerenciamento centralizado.
 GPO – Políticas de Grupo.
 Catálogo Global.
 Gerenciamento de Desktop Intel
6
  Distribuição de Software Automática.
 Interface de acesso ADSI.
 Compatibilidade com sistemas operacionais MS Legados.
 Administração Delegada.
 Replicação Automática.

Como o Active Directory funciona

O principal serviço do Active Directory é o Active Directory Domain Services (AD
DS), que faz parte do sistema operacional Windows Server. Os servidores que executam
o AD DS são chamados de controladores de domínio (DC). As organizações
normalmente têm vários DC e cada um tem uma cópia do diretório para todo o domínio.
Alterações feitas no diretório em um controlador de domínio, como atualização de
senha ou exclusão de uma conta de usuário, são replicadas para os outros DC para que
todos permaneçam actualizados. Um servidor de Catálogo global é um DC que
armazena uma cópia completa de todos os objectos no diretório de seu domínio e uma
cópia parcial de todos os objectos de todos os outros domínios na floresta. Isso permite
que usuários e aplicativos localizem objectos em qualquer domínio de sua forest.
Desktops, notebooks e outros dispositivos que executam o Windows (em vez do
Windows Server) podem fazer parte de um ambiente Active Directory, mas não
executam o AD DS. O AD DS depende de vários protocolos e padrões estabelecidos,
LDAP (Lightweight Directory Access Protocol), Kerberos e DNS (Domain Name
System).

É importante saber que o Active Directory se destina apenas a ambientes Microsoft

locais. Os ambientes Microsoft na nuvem usam o Azure Active Directory, que serve ao
mesmo propósito de seu homónimo local. O AD e o Azure AD são separados, mas
podem trabalhar juntos em alguma medida se sua organização tiver ambientes de TI
locais e na nuvem (uma implantação híbrida)

Como o Active Directory está estruturado

O AD tem três camadas principais: domínios, árvores e forests. Um domínio é um
grupo de usuários, computadores e outros objectos AD relacionados, como todos os
objetos AD da sede da sua empresa. Vários domínios podem ser combinados em uma
árvore e várias árvores podem ser agrupadas em uma forest.
7
Lembre-se de que um domínio é um limite de gerenciamento. Os objectos de um
determinado domínio são armazenados em um único banco de dados e podem ser
gerenciados juntos. Uma floresta é um limite de segurança. Objectos em floresta
diferentes não podem interagir uns com os outros, a menos que os administradores de
cada floresta criem uma relação de confiança entre elas. Por exemplo, se você tiver
várias unidades de negócios separadas, provavelmente, quererá criar várias florestas.

Banco de dados do Active Directory

O banco de dados (diretório) do Active Directory contém informações sobre os objectos
AD no domínio. Por exemplo, usuários, computadores, aplicativos, impressoras e pastas
compartilhadas são tipos comuns de objectos AD. Alguns objectos podem conter outros
objectos (é por isso que você verá o AD descrito como "hierárquico"). Particularmente,
as organizações muitas vezes simplificam a administração organizando objectos AD em
unidades organizacionais (OU) e simplificam a segurança colocando os usuários em
grupos. Os próprios grupos e OU são objectos armazenados no diretório.

Os objectos têm atributos. Alguns atributos são óbvios e outros estão mais ocultos. Por
exemplo, um objecto de usuário normalmente tem atributos como o nome, senha,
departamento e endereço de e-mail da pessoa, mas também tem atributos que a maioria
das pessoas nunca vê, como seu Identificador exclusivo global (GUID), Identificador de
segurança (SID), último horário de login e pertencimento a um grupo.

Os bancos de dados são estruturados, o que significa que há um design que determina
quais tipos de dados eles armazenam e como esses dados são organizados. Esse design é
chamado de esquema. O Active Directory não é uma excepção: seu esquema contém
definições formais de cada classe de objecto que pode ser criada na forest do Active
Directory e de todos os atributos que podem existir em um objecto do Active Directory.
O AD vem com um esquema padrão, mas os administradores podem modificá-lo para
atender às necessidades de negócios. É essencial saber que é melhor planejar o esquema
com cuidado desde o início, devido ao papel central que o AD desempenha na
autenticação e nas autorizações. Alterar o esquema do banco de dados do AD
posteriormente pode interromper significativamente seus negócios.

8
Serviços do active Directory
O principal serviço no Active Directory é o Serviço de Domínio (AD DS), que
armazena informação de directório e lida com a interacção do usuário com o domínio. O
AD DS verifica o acesso quando um usuário entra em uns dispositivos ou tenta se
conectar a um servidor através de uma rede. O AD DS controla quais usuários têm
acesso a cada recurso. Por exemplo, um administrador normalmente tem um nível
diferente de acesso aos dados que um usuário final.

Outros produtos da Microsoft, como o Exchange Serve e o Sharepoint Server, contam

com AD DS para fornecer acesso a recursos. o servidor que Hospeda o AD DS é o
controlador de domínio.

Vários outro serviço incluem o active Directory. Eles são os serviços de directório leve,
serviços de certificado, serviços de federação e serviços de Gerenciamento de direitos.
Cada serviço expande os recursos de gerenciamentos de directórios do produto.

Os serviços de Directoria leve (AD LDS) têm a mesma base de código do AD DS,
compartilhando funcionalidades semelhantes, como a API. O AD LDS, no entanto,
pode ser executado em varias instancias em um servidor e mantem os dados do
directório em um armazenamento de dados usando o LDAP (lightweight directory
access protocolo).

LDAP e um protocolo de aplicativos lados para a cessar e manter serviços de directório

em uma rede.

O LDAP armazena objectos como Nome de usuário e senha- nos serviços de directório-
como o Active Directory e compartilha esses dados de objectos pela rede.

Os serviços de certificados (AD CS) geram, gerência e compartilha certificado. Um

certificado usa criptografia para permitir que um usuário troque informações pela
Internet com segurança com uma chave pública.

Os serviços de federação do Active Directory (AD FS) autenticam o acesso do usuário a

vários aplicativos – mesmo em rede diferentes usando o logon único (SSO). Como o
nome indica, o SSO exige que o usuário faca logon apenas uma vez, em vez de usar
varias chaves de autenticação dedicadas para cada serviço. O Gerenciamento de Direitos
(AD RMS) controla os director de gerenciamento de informação . o AD RMS

9
criptografia conteúdos , como email ou documentos Word, em um servidor para
limitar o acesso.

Uma árvore e um ou mais domínios agrupados. A estrutura em árvore usa um espaço

para nome e código para reunir a colecção de domínio em uma hierarquia lógica. As
árvores podem ser vistas como relação de confiança nos quais uma conexão ou
confiança segura e compartilhada entre dois domínios. Vários domínios podem ser
confiáveis, onde um domínio pode confiar em um segundo e o segundo domínio pode
confiar e um terceiro. Devido a natureza hierarquia dessa configuração, o primeiro
domínio pode implicamente confiar no terceiro domínio sem precisar de confiança
explicita.

Uma floresta e um grupo de várias árvores. Uma floresta consiste em catálogos

compartilhados esquemas de directório, informações de aplicativos e configurações de
domínio. O esquema define a classe e os atributos de um objecto em uma floresta. Além
disso, os servidores de catálogo global fornecem uma lista de todos os objectos em uma
floresta.

As unidades organizacionais (OUs) organizam usuários, grupos de dispositivos. Cada

domínio pode conter sua própria OU. No entanto, as UOs não podem ter espaço para
nomes separados, pois cada usuário ou objecto em um domínio deve se exclusivo. Por
exemplo uma conta de usuário com o mesmo nome de usuário não pode ser criada.

Active Directory versus grupo de trabalho

O grupo de trabalho é outro programa da Microsoft que conecta máquinas Windows em
uma rede ponto a ponto. O grupo de trabalho permite que essas máquinas compartilhem
arquivos, acesso a internet, impressoras e outros recursos pela rede. A rede ponto a
ponto elimina a necessidade de servidor para autenticação.

Principais recursos nos serviços de domínio Active directory

Os serviços de Domínio Active Director usam um layout em camadas que consiste em
domínios, árvores e floresta para coordenar elementos de rede

Um domínio é um grupo de objectos como usuário ou dispositivos, que compartilham o

mesmo banco de dados do AD. Os domínios têm uma estrutura de sistema de nome de
domínio (DNS).

Características do Active Directory

As 4 características principais:
10
  Banco de dados centralizados;
 Escalabilidade;
 Segurança Integrada;
 Logon Único;

Estrutura do active directory

Estrutura do AD é dividida em 2 duas partes, lógica e física.

Estrutura lógica:

A estrutura lógia é dividida em: Florestas, Árvores, Domínios e unidade

Organizacionais (OU).

 Florestas: consiste no agrupamento de uma ou mais árvores de domínio. O

primeiro domínio da floresta é chamado domínio raiz da floresta (root). O nome
desse domínio faz referência a floresta.
 Árvore: os domínios agrupados em estrutura Hierárquica são chamadas de
árvores de domínio quando você acrescenta um segundo domínio a uma árvore,
ele se torna filho do domínio raiz da árvore.
 Domínio: os domínios são as principais unidades funcionais da estrutura lógica
do Active Directory, são um conjunto de objecto definidos de forma
administrativa que compartilha um banco de dados de director comum,
directiva de segurança e relações de confiança com outros domínios. Em outras
palavras cada domínio possui seu administrador, ou seja, as definições de
seguranças de um domínio não se aplicam aos outros domínios.
 Unidades Organizacionais (OUs): As unidades organizacionais são objectos do
active directory usados para armazenar e organizar os objectos de usuários,
grupos, computadores e outras unidades organizacional. Ou seja nos devemos

11
 utilizar as OUs para distribuir de forma uniforme os objectos dentro do Active
Directory.

Estrutura física:

A estrutura física do AD e representada por Domain Controles e Sites.

 Domain Controllers: cada controlador de domínio desempenha funções de

armazenamento e replicação cada controlador de domínio do suporte a apenas
um domínio. Para garantir a disponibilidade continua do Active Directory, cada
domínio deve ter mais de um controlador de domínio,
 Sites: os sites são objectos dentro do Active Directory que representam a
localidade geográfica do host e de sua rede(network (IP)), ou seja utilizamos
sites para organizar os objectos dentro de suas redes.

Funções do Active Directory

As 5 funções FSMO são:

 Schema Master – um por floresta

 Mestre de nomeação de domínio – um por floresta
 Mestre de ID relativo (RID) – Um por domínio
 Emulador de controlador de domínio primário (PDC) – Um por domínio
 Mestre de infrastrutura – um por domínio

Funções FSMO:

Mestre de esquema: Função mestre de esquema gerência a cópia de leitura e gravação

do esquema do Active Directory. O esquema AD define todos os atributos coisas como
ID do funcionário, número de telefone, endereço de r-mail e nome de log que você pode
aplicar a uns objectivos em seu banco de dados AD.

Mestre de Nomenclatura de Domínio: O mestre de Nomenclatura de Domínio garante

que você não crie um segundo domínio na mesma floresta com o mesmo nome de outro.
É o mestre de seu nome de domínio. A criação de novos domínios não e algo que
acontece com frequência, portanto, de todas as funções, esta é a mais provável de residir
no mesmo DC com outra função.

 RID Master
12
  Emulador de PDC
 Mestre de infra-estrutura;

As partições do Active Directory

O banco de dados do Active Directory e um armazém em um único arquiva NTDS.
Dit que é logicamente separado nas seguintes partições:

1- Partição de esquema
2- Partição de configuração
3- Partição de domínio
4- Partição de aplicativos

Partição de esquema

Há apenas uma partição de esquema, há apenas uma partição de configuração mestre

por floresta e uma segunda em todos os DCs da floresta. Eles contem a definição de
objectos e regras para sala manipulação e criação em um directório activa. Ele e
replicado para todos, DCs da floresta.

Partição de configuração

Assim como a partição de esquema, há apenas uma partição de configuração mestre por
floresta e uma segunda em todos os DCs em uma floresta. Eles contem a topologia do
Active Directory em toda a floresta, incluídos controladores de domínio. site e serviços .
Ele e replicado para todos os controladores de domínio em uma floresta.

Partição de domínio

Existe muitas partições de domínio por floresta e são armazenadas em todos. os

controladores de domínio em um domínio. Eles cometem informações sobre usuário,
grupo, computadores e o UOs. Ele é replicado para todos os DCs em um determinado
domínio.

Partição de aplicação

Esta partição armazena informação sobre aplicativos em um AD. Suponha que as

informações das zonas DNS integradas ao AD armazenada nesta partição.

13
Conclusão
O Active Director armazena dados como objectos. Os objectos são normalmente
definida como recursos como impressoras ou computadores ou objectivos de segurança
como usuários ou grupos.

14
Cadeia de nomes, junto com as informações associadas ao usuário, como senha e chaves
SSH (Secure Shell).

O Active Directory é um conjunto de arquivos localizados no servidor de domínio, no

qual estão todas as informações que permitem controlar o acesso dos usuários à rede.
Nele ficam registrados os nomes e senhas de usuários, suas permissões de acesso a
arquivos, impressoras e outros recursos da rede, as cotas de disco, os computadores e
horários que cada usuário pode utilizar,

Referência bibliográfica

15