Conceitos : Florestas, Árvore e Domínios

Nível da Floresta e Árvore e Domínios

Uma floresta é uma coleção de domínios com Schema e configuração

compartilhados, representado por um único e lógico Global Catalog (GCs) e
conectado por uma árvore dispersa de relações de confiança transitivas. Uma
floresta é representada por um domínio de floresta raiz.
O proprietário padrão da floresta é o grupo Domain Admins do domínio raiz. Este
grupo controla os membros dos grupos Enterprise Admins e Schema Admins, os
quais por padrão têm controle sobre as configurações gerais da floresta. Pelo
fato de o proprietário da floresta controlar os controladores de domínio, o
proprietário da floresta é o administrador de serviço.
Um domínio é uma partição de uma floresta Active Directory. O proprietário
administrativo padrão de um domínio é o grupo Domain Admins do domínio. Pelo
fato de o proprietário do domínio controlar os controladores de domínio, o
proprietário do domínio é o administrador de serviço. Todos os proprietários de
domínio, exceto o raiz, são pares, independentemente de sua posição no
domínio; o proprietário de um domínio pai, que não seja o raiz, não possui
controles administrativos padrões sobre o domínio filho.
Uma Unidade Organizacional (OU) é um container dentro de um domínio. O
controle sobre a OU e os objetos no interior da OU são determinados
exclusivamente pelo Access Control List (ACLs) sobre a OU e seus objetos.
Usuários e grupos que possuem controle sobre os objetos na OU são
administradores de dados.

Determinando o número de Florestas

Quanto maior o número de organizações que possam participar da floresta,
maiores são os possíveis benefícios, advindos da colaboração e redução de
custos. Por esta razão, são consideradas melhores práticas as tentativas de
minimizar o número de florestas ao implantar o Active Directory. Entretanto
existem situações na qual o requisito de delegação faz com que o uso de
múltiplas florestas seja necessário e apropriado. Por exemplo, em organizações
onde o controle administrativo é amplamente distribuído, pode ser impraticável
esperar que todas as organizações participem de uma mesma infraestrutura.
Nestes casos, o custo de gerenciamento de uma floresta adicional é suportado
em função da satisfação do requisito prático.
Uma vez que os requisitos de delegação foram compreendidos é possível definir
o número de florestas que a organização requer. A necessidade de uma nova
floresta advém da existência de um dos três cenários a seguir:

Isolamento de serviço: Um departamento requer que nenhum administrador

fora do departamento deva interferir na operação do serviço de diretório. A
requisição de isolamento de serviço é usualmente baseada em necessidades
legais ou de segurança operacional. Por exemplo, considere uma aplicação
baseada em serviço de diretório que suporte um processo de manufatura
altamente controlado. Se o diretório de aplicação é distribuído em um domínio
de uma dada floresta, é possível que o proprietário da floresta, inadvertidamente
ou não, faça a interrupção do serviço de diretório do domínio de manufatura. Isto
pode ocorrer através da remoção de sites ou remoção da configuração de
informações de um container de sistema ou até mesmo após
a mudança de Schema. Esta interrupção pode causar a falha na aplicação de
manufatura.

Autonomia de serviço em nível de floresta: Neste cenário, múltiplos

participantes possuem a habilidade de modificar dados em nível de floresta,
como Schema, independentemente um do outro. Este requisito é usualmente
baseado em necessidades operacionais ou de estrutura organizacional. Um bom
exemplo aplicável a este cenário pode ser o uso de duas aplicações que
partilham a mesma classe e nomes de atributos, mas definem seu uso de
maneiras diferentes. Pelo fato de existir somente um Schema na floresta, a única
forma de isolar os dois Schemas é colocando os em florestas separadas.

Isolamento de dados a partir de proprietários de serviços: Uma organização

requer que o proprietário do domínio previna o acesso de dados armazenados
no domínio pelos proprietários de serviços na floresta. Este requisito usualmente
é baseado em necessidades legais. Considere, por exemplo, um requisito legal
onde somente pessoas de um departamento específico podem acessar dados
em um domínio. Se o domínio foi criado como um domínio separado na floresta,
não haverá formas de assegurar a conformidade deste requisito porque um
administrador corporativo (enterprise
admin) pode sobrepor qualquer definição de segurança aplicado pelo
administrador do domínio.

Isolamento e Autonomia

Requisitos de Delegação
Conforme descrito anteriormente, os requisitos de delegação de uma
organização geralmente recaem em duas categorias: autonomia e isolamento.
Autonomia: É a habilidade dos administradores de uma organização em gerir
de forma independente, os seguintes itens:

Toda ou parte da administração de serviço (autonomia de serviço)

Todo ou parte do dado armazenado no diretório ou nos computadores membros
do domínio (autonomia de dados)
Isolamento: É a habilidade dos administradores de uma organização de
prevenir outros administradores de: Controlar ou interferir com a administração
do serviço (isolamento de serviço).
Controlar ou visualizar um subconjunto de dados no diretório ou nos membros
que pertencem ao domínio (isolamento de dados).
A Autonomia é menos restritiva do que o Isolamento. Administradores que
requerem somente autonomia aceitam que outros administradores com
privilégios iguais ou superiores possuam controle equivalente.
Administradores que requerem isolamento procuram especificamente bloquear
outros administradores na visualização ou controle de suas porções de serviço
ou dados. Pelo fato de autonomia ser menos restritivo que isolamento, é
geralmente menos dispendioso e mais eficiente delegar autonomia no Active
Directory.
A combinação de administração de serviço, administração de dados, autonomia
e isolamento determinam qual estrutura de Active Directory deve ser utilizada
para delegar controle em uma organização.