09/08/13 Conceitos : Florestas, Árvore e Domínios - Comunidade Brasileira de AD - Site Home - TechNet Blogs

Conceitos : Florestas, Árvore e Domínios

brzsgavn 11 Dec 2008 11:27 AM 2

Pessoal,

Tenho conversado com muitas pessoas no projeto onde estou atualmente e encontrei muitas pessoas com dúvidas
sobre os conceitos sobre Floresta, Árvore, Domínios, Isolamentos, etc.

Neste post pretendo dar uma visão geral sobre o assunto:

Nível da Floresta e Árvore e Domínios

Para entender as definições e características de florestas, domínios e Unidades Organizacionais (OU) é

conveniente revisar o tópico de delegação do Active Directory.

Uma floresta é uma coleção de domínios com Schema e configuração compartilhados, representado por um
único e lógico Global Catalog (GCs) e conectado por uma árvore dispersa de relações de confiança
transitivas. Uma floresta é representada por um domínio de floresta raiz.

O proprietário padrão da floresta é o grupo Domain Admins do domínio raiz. Este grupo controla os
membros dos grupos Enterprise Admins e Schema Admins, os quais por padrão têm controle sobre as
configurações gerais da floresta. Pelo fato de o proprietário da floresta controlar os controladores de domínio,
o proprietário da floresta é o administrador de serviço.

Um domínio é uma partição de uma floresta Active Directory. O proprietário administrativo padrão de um
domínio é o grupo Domain Admins do domínio. Pelo fato de o proprietário do domínio controlar os
controladores de domínio, o proprietário do domínio é o administrador de serviço. Todos os proprietários de
domínio, exceto o raiz, são pares, independentemente de sua posição no domínio; o proprietário de um
domínio pai, que não seja o raiz, não possui controles administrativos padrões sobre o domínio filho.

Uma Unidade Organizacional (OU) é um container dentro de um domínio. O controle sobre a OU e os

objetos no interior da OU são determinados exclusivamente pelo Access Control List (ACLs) sobre a OU e
seus objetos. Usuários e grupos que possuem controle sobre os objetos na OU são administradores de dados.
Determinando o número de Florestas

Quanto maior o número de organizações que possam participar da floresta, maiores são os possíveis
benefícios, advindos da colaboração e redução de custos. Por esta razão, são consideradas melhores práticas
as tentativas de minimizar o número de florestas ao implantar o Active Directory. Entretanto existem
situações na qual o requisito de delegação faz com que o uso de múltiplas florestas seja necessário e
apropriado. Por exemplo, em organizações onde o controle administrativo é amplamente distribuído, pode ser
impraticável esperar que todas as organizações participem de uma mesma infra­estrutura. Nestes casos, o
custo de gerenciamento de uma floresta adicional é suportado em função da satisfação do requisito prático.
Uma vez que os requisitos de delegação foram compreendidos é possível definir o número de florestas que a
organização requer. A necessidade de uma nova floresta advém da existência de um dos três cenários a
seguir:
Isolamento de serviço: Um departamento requer que nenhum administrador fora do departamento deva
interferir na operação do serviço de diretório. A requisição de isolamento de serviço é usualmente baseada em
necessidades legais ou de segurança operacional. Por exemplo, considere uma aplicação baseada em serviço
de diretório que suporte um processo de manufatura altamente controlado. Se o diretório de aplicação é
distribuído em um domínio de uma dada floresta, é possível que o proprietário da floresta, inadvertidamente
ou não, faça a interrupção do serviço de diretório do domínio de manufatura. Isto pode ocorrer através da
remoção de sites ou remoção da configuração de informações de um container de sistema ou até mesmo após
a mudança de Schema. Esta interrupção pode causar a falha na aplicação de manufatura.

blogs.technet.com/b/brzad/archive/2008/12/11/conceitos-florestas-rvore-e-dom-nios.aspx 1/2
09/08/13 Conceitos : Florestas, Árvore e Domínios - Comunidade Brasileira de AD - Site Home - TechNet Blogs

Autonomia de serviço em nível de floresta: Neste cenário, múltiplos participantes possuem a habilidade de
modificar dados em nível de floresta, como Schema, independentemente um do outro. Este requisito é
usualmente baseado em necessidades operacionais ou de estrutura organizacional. Um bom exemplo
aplicável a este cenário pode ser o uso de duas aplicações que partilham a mesma classe e nomes de atributos,
mas definem seu uso de maneiras diferentes. Pelo fato de existir somente um Schema na floresta, a única
forma de isolar os dois Schemas é colocando­os em florestas separadas.
• Isolamento de dados a partir de proprietários de serviços: Uma organização requer que o
proprietário do domínio previna o acesso de dados armazenados no domínio pelos proprietários de
serviços na floresta. Este requisito usualmente é baseado em necessidades legais. Considere, por
exemplo, um requisito legal onde somente pessoas de um departamento específico podem acessar
dados em um domínio. Se o domínio foi criado como um domínio separado na floresta, não haverá
formas de assegurar a conformidade deste requisito porque um administrador corporativo (enterprise
admin) pode sobrepor qualquer definição de segurança aplicado pelo administrador do domínio.
Isolamento e Autonomia

Requisitos de Delegação
Conforme descrito anteriormente, os requisitos de delegação de uma organização geralmente recaem em duas
categorias: autonomia e isolamento.
Autonomia: É a habilidade dos administradores de uma organização em gerir de forma independente, os
seguintes itens:
Toda ou parte da administração de serviço (autonomia de serviço)
Todo ou parte do dado armazenado no diretório ou nos computadores membros do domínio (autonomia de
dados)
Isolamento: É a habilidade dos administradores de uma organização de prevenir outros administradores de:
Controlar ou interferir com a administração do serviço (isolamento de serviço)
Controlar ou visualizar um subconjunto de dados no diretório ou nos membros que pertencem ao domínio
(isolamento de dados)
A Autonomia é menos restritiva do que o Isolamento. Administradores que requerem somente autonomia
aceitam que outros administradores com privilégios iguais ou superiores possuam controle equivalente.
Administradores que requerem isolamento procuram especificamente bloquear outros administradores na
visualização ou controle de suas porções de serviço ou dados. Pelo fato de autonomia ser menos restritivo que
isolamento, é geralmente menos dispendioso e mais eficiente delegar autonomia no Active Directory.
A combinação de administração de serviço, administração de dados, autonomia e isolamento determinam
qual estrutura de Active Directory deve ser utilizada para delegar controle em uma organização.

Comments

Sérgio dos Santos 24 Aug 2009 7:03 AM

Tenho aqui na empresa, dois dominios distintos, A e B.Instalados e funcionado em locais físcos
separados,existe uma conexão entre eles atraves de uma vpn. Como faço para os usuarios do dominio A
poderem de logar no dominio B e vice­versa quando necesário?

Eles teriam de fazer parte de uma mesma floresta? Como fazer isto?

EduardoZ1 24 Aug 2009 9:19 AM

Sergio,

Se os dominios estão separados e não fazem parte da mesma floresta, através de "trust" (entre os
dominios) é possivel fazer a conexão via remote desktop, porem a estacao do usuario poderá pertencer
apenas a um dos dominios.

Para que a estação dos usuarios possa acessar aos dois dominios voce precisará ter os 2 dominios na
mesma floresta e para isso, voce poderá fazer a migração de um dos dominios para a floresta do outro
dominio, utilizando ferramentas de migração como o ADMT
(http://www.microsoft.com/downloads/details.aspx?familyid=AE279D01­7DCA­413C­A9D2­
B42DFB746059&displaylang=en).

Abraços,

Eduardo

blogs.technet.com/b/brzad/archive/2008/12/11/conceitos-florestas-rvore-e-dom-nios.aspx 2/2