Active Directory ServicesActive Directory ServicesServiço de Diretório AtivoServiço de Diretório Ativoçç

Jeferson B. PinheiroEmail: jeferson@jpinheiro net

1

Email: jeferson@jpinheiro.netSite: www.jpinheiro.net

ObjetivoObjetivo

• Implementar, administrar e manter redes de computadores; Oferecer suporte, p ; p ,administração e programação básica em ambientes de rede; Implantar e configurarambientes de rede; Implantar e configurar protocolos de rede para comunicação de dados voz e imagem em redes dedados, voz e imagem em redes de computadores; Instalar e configurar Active Directory.

2

EmentaEmenta• Introdução ao sistema de arquivo de Diretório

Ativo. Instalando e o serviço de Diretório Ativo(principais objetivos, atribuição de (p p j , çpermissões em múltiplos domínios). Introdução aos consoles de administração e Snap-in;aos consoles de administração e Snap in; Introdução a administração de contas de usuários e grupos do diretório ativo (Comandosusuários e grupos do diretório ativo (Comandos, Profiles, Grupos de Usuários, Unidades Organizacionais) Introdução a administração deOrganizacionais). Introdução a administração de políticas de senha para o domínio.

3

SurgimentoSurgimento

• O Active Directory (AD) surgiu danecessidade de se ter um único diretório.– uma senha para acessar todos os recursos

disponíveis na rededisponíveis na rede.

• Podemos definir um diretório como sendoum banco de dados que armazena asqinformações dos usuários.

4

SurgimentoSurgimento

• O AD surgiu juntamente com o Windows2000 Server.

Obj t á i b• Objetos como usuários, grupos, membrosdos grupos, senhas, contas decomputadores, relações de confiança,informações sobre o domínio, unidadesinformações sobre o domínio, unidadesorganizacionais, etc, ficam armazenadosno banco de dados do AD

5

no banco de dados do AD.

SurgimentoSurgimento

• Além de armazenar vários objetos em seubanco de dados, o AD disponibiliza váriosserviços, como:– autenticação dos usuários– replicação do seu banco de dados– pesquisa dos objetos disponíveis na rede– administração centralizada da segurança utilizando

GPO, entre outros serviços.

• Esses recursos tornam a administração do AD6

çbem mais fácil, sendo possível administrar todosos recursos disponíveis na rede

Surgimentog• Para que os usuários possam acessar os recursos disponíveis na

rede, estes deverão efetuar o logon. Quando o usuário efetual AD ifi i f f id l á ilogon, o AD verifica se as informações fornecidas pelos usuáriossão válidas e faz a autenticação, caso essas informações sejamválidas.

• O AD é organizado de uma forma hierárquica, com o uso dedomínios.

• Caso uma rede utilize o AD, poderá conter vários domínios.

• Um domínio é nada mais do que um limite administrativo e desegurança, ou seja, o administrador do domínio possuipermissões somente no domínio e não em outros domínios Aspermissões somente no domínio, e não em outros domínios. Aspolíticas de segurança também se aplicam somente ao domínio, enão a outros domínios. Resumindo: diferentes domínios podemter diferentes administradores e diferentes políticas de segurança

7

ter diferentes administradores e diferentes políticas de segurança.

Recursos

• Ao utilizar os domínios baseados no AD temos os seguintes• Ao utilizar os domínios baseados no AD, temos os seguintesrecursos:

• Logon único : com esse recurso o usuário necessita fazer apenas• Logon único : com esse recurso, o usuário necessita fazer apenasum logon para acessar os recursos em diversos servidores da rede,inclusive e-mail e banco de dados.

• Conta de usuário única : os usuários possuem apenas um nomede usuário para acessar os recursos da rede. As contas de usuáriosficam armazenadas no banco de dados do AD.

• Gerenciamento centralizado : com os domínios baseados no AD,temos uma administração centralizada. Todas as informações sobre

d á i d d dcontas de usuários, grupos e recursos da rede, podem seradministradas a partir de um único local no domínio.

E l bilid d d í i d l8

• Escalonabilidade : os domínios podem crescer a qualquermomento, sem limite de tamanho. A forma de administração é amesma para uma rede pequena ou grande.

RecursosRecursos

Fi 1 R d D í i b d AD9

Figura 1 – Recursos de um Domínio baseado no AD

Domínios baseados no ADDomínios baseados no ADC t l d d D í i (DC D i C t ll ) é• Controlador de Domínio (DC – Domain Controller) : éo computador que possui o AD instalado, ou seja, é umservidor que possui uma cópia da base de dados do AD.q p p

• Em um mesmo domínio podemos ter mais de umpControlador de Domínio.– As alterações efetuadas em um DC são replicadas para todos

os outros DC’s São os DC’s quem fazem a autenticação dosos outros DC s. São os DC s quem fazem a autenticação dosusuários de um domínio.

• Servidor Membro (Member Server) : é um servidor quenão possui uma cópia do AD, porém tem acesso aosobjetos do AD Não fazem a autenticação dos usuários

10

objetos do AD. Não fazem a autenticação dos usuários.

Modos do Domínios do Windows 2003

• Native (Nativo) : utilizado em domínios quepossuem somente Controladores de Domínio(DC) Windows 2003.

• Mixed (Misto) : utilizado em domínios queMixed (Misto) : utilizado em domínios quepossuem Controladores de Domínio (DC)anteriores ao Windows 2003anteriores ao Windows 2003.

11

Modos do Domínios do Windows 2003

• Para a instalação do AD é necessário que o serviço DNS esteja disponível• Para a instalação do AD é necessário que o serviço DNS esteja disponível,ou seja, é um pré-requisito para a instalação do AD.

• O AD utiliza o DNS para a nomeação de servidores e recursos, e tambémO AD utiliza o DNS para a nomeação de servidores e recursos, e tambémpara resolução de nomes. Caso o serviço DNS não esteja disponível narede durante a instalação do AD, poderemos instalá-lo durante a instalaçãodo AD.

• Com a utilização de domínios, podemos fazer com que nossa rede reflita aestrutura de uma empresa. Quando utilizamos vários domínios temos oconceito de relação de confiança. A relação de confiança permite que os

á i d b d í i l li dusuários de ambos os domínios acessem os recursos localizados nessesdomínios. No Windows 2003, as relações de confianças são bidirecionais etransitivas, ou seja, se o domínio X confia no domínio Y, e Y confia nodomínio W, o domínio X também confia no domínio W.

• Algumas características próprias de cada domínio: • Um domínio armazena informações somente dos objetos do próprio

d í i12

domínio. • Um domínio possui suas próprias diretivas de segurança.

Alguns termos necessários à gcompreensão do AD

• Objetos• Tudo no AD é um objeto. Exemplo um user é umTudo no AD é um objeto. Exemplo um user é um

objeto. Quando você cria um novo usuário, esse novoobjeto herda todos os atributos do objeto user.

• Atributos• São as características que descrevem os objetosSão as características que descrevem os objetos.

Exemplo: o objeto usuário (user) tem como alguns deseus atributos o nome de usuário e a senha da rede.

• Publicação de um objeto• O mesmo que criação de um objeto

13

• O mesmo que criação de um objeto.

Alguns termos necessários à compreensão do ADcompreensão do AD

• UsuáriosTrata-se de contas de usuários, que agora incluem

informações adicionais como endereço e telefoneinformações adicionais como endereço e telefone.• GruposGrupos são criados quase que da mesma forma. AGrupos são criados quase que da mesma forma. A

diferença é a maior flexibilidade no gerenciamento, poisgrupos incluem usuários. É mais rápido e prático criardiretivas de grupo que diretivas individuais para usuáriosdiretivas de grupo que diretivas individuais para usuários.

• ContêineresSão objetos que servem para organizar os demais objetos.j q p g j

Podem ser comparados a uma pasta principal, dentro daqual serão armazenadas diversas pastas secundárias. Épossível ter um contêiner dentro do outro.possível ter um contêiner dentro do outro.

14

Alguns termos necessários à compreensão do AD

Unidades Organizacionais (OUs)• Unidades Organizacionais (OUs)As OUs são objetos do tipo contêineres que podem

conter os seguintes objetos: usuários, grupos,g j , g p ,computadores, impressoras, aplicativos, diretivas desegurança, compartilhamento de arquivos, outrasOUsOUs.

• DomíniosSão grupos de máquinas rodando windows 2000, XP ou

2003 Server, seja como estações ou servidores.

• ÁrvoresTermo usado para descrever um conjunto de objetos

15

Termo usado para descrever um conjunto de objetoshierarquicamente organizados dentro do AD.

Termos do Active Directory

Floresta DomínioDomínio

Contoso.msf

nwtrader.msft

Árvoret

au.nwtrader msf

Árvore

OUs em nwtrader.msft

umdomínio

brisbane.au.nwtrader.msf

Sales.Contoso.msft

16

nwtrader.msft

Alguns termos necessários à compreensão do AD

Florestas• FlorestasTermo usado para descrever um conjunto de árvores

que não é parte do mesmo espaço de nomes, masq p p ç ,compartilha um esquema, uma configuração e umcatálogo global comuns. Na prática, florestas só sãonecessárias quando a rede é formada por empresasnecessárias quando a rede é formada por empresasseparadas física e juridicamente.

• SiteTermo usado para descrever uma localização geográfica

na rede ou seja um escritório ou filialna rede, ou seja, um escritório ou filial.

• Esquema17

qTermo usado para descrever o conjunto de atributos

disponível para qualquer tipo de objeto particular.

Alguns termos necessários à gcompreensão do AD

Catálogo Gobal• Catálogo Gobal

• Trata-se de um serviço dentro do Windows ServerTrata-se de um serviço dentro do Windows Server2003 que permite ao usuário localizar qualquer objetode qualquer domínio a que ele tenha acessoautorizadoautorizado.

• Espaço de NomeEspaço de Nome

• Recurso do AD para resolver os nomes dos objetos.jNa prática, liga o nome ao objeto correspondente.

18