O documento descreve o Active Directory (AD) do Windows Server. O AD é um serviço de diretório que armazena informações sobre objetos em uma rede como usuários, grupos, computadores e políticas de segurança. O AD fornece serviços como autenticação, replicação de dados e pesquisa de objetos.
2. Active Directory
Serviços de Diretório do Windows Server. Um serviço
de diretórios é um serviço de rede. O qual identifica
todos os recursos disponíveis em uma rede, mantendo
informações sobre estes dispositivos (contas de
usuários, grupos, computadores, recursos, políticas de
segurança, etc) em um banco de dados e torna estes
recursos disponíveis para usuários e aplicações.
BATTISTI, Júlio; SANTANA, Fabiano
Prof. Pedro Clarindo da Silva Neto
3. Active Directory
O Active Directory (AD) é um serviço de diretório nas redes
Windows 2000, 2003 e 2008.
Serviço de diretório é um conjunto de Atributos sobre recursos e
serviços existentes na rede, isso significa que é uma maneira de
organizar e simplificar o acesso aos recursos de sua rede
centralizando-os; Bem como, reforçar a segurança e dar
proteção aos objetos da database contra intrusos, ou controlar
acessos dos usuários internos da rede.
O Active Directory mantém dados como contas de usuários,
impressoras,grupos,computadores, servidores,recursos de rede,
etc. Ele pode ser totalmente escalonável, aumentando conforme
a nossa necessidade.
Adaptado de Microsoft TechNet
Prof. Pedro Clarindo da Silva Neto
4. Active Directory
O Active Directory surgiu da necessidade de se ter um
único diretório, ou seja, ao invés do usuário ter uma senha
para acessar o sistema principal da empresa, uma senha
para ler seus e-mails, uma senha para se logar no
computador, e várias outras senhas, com a utilização do
AD, os usuários poderão ter apenas uma senha para
acessar todos os recursos disponíveis na rede. O AD surgiu
juntamente com o Windows 2000 Server. Objetos como
usuários, grupos, membros dos grupos, senhas, contas de
computadores, relações de confiança, informações sobre o
domínio, unidades organizacionais, etc, ficam
armazenados no banco de dados do AD.
Prof. Pedro Clarindo da Silva Neto
5. Active Diretory
Além de armazenar vários objetos em seu banco de dados,
o AD disponibiliza vários serviços, como: autenticação dos
usuários, replicação do seu banco de dados, pesquisa dos
objetos disponíveis na rede, administração centralizada da
segurança utilizando GPO, entre outros serviços. Esses
recursos tornam a administração do AD bem mais fácil,
sendo possível administrar todos os recursos disponíveis
na rede centralizadamente. Para que os usuários possam
acessar os recursos disponíveis na rede, estes deverão
efetuar o logon. Quando o usuário efetua logon, o AD
verifica se as informações fornecidas pelos usuários são
válidas e faz a autenticação, caso essas informações sejam
válidas.
Prof. Pedro Clarindo da Silva Neto
6. Active Directory
Nota de rodapé:
!
— Nome oficial do Active Directory: Active Directory
Domain Services – ADDS.
— Surgiu a partir do MS Windows Server 2000.
Prof. Pedro Clarindo da Silva Neto
7. Active Directory
Elementos que compõe a estrutura lógica e mantem em funcionamento o AD:
— Domínios
— Árvores
— Florestas
— Relações de Confiança
— Objetos do AD
— UO ou OU ou Unidades Organizacionais
— Schema
— Sites
Prof. Pedro Clarindo da Silva Neto
8. Active Directory
Prof. Pedro Clarindo da Silva Neto
Webmail Servidor
de aceso à
rede
Sistema RH Sistema
Fianceiro
Cada um com login e senhas diferentes e procedimentos de
autenticação e segurança distintos.
9. Active Directory
Cada ambiente possui um banco de dados para
cadastro de usuário, senha e outras informações. Este
banco de dados é um exemplo de Diretório. Para cada
diretório o usuário possui uma senha.
Ou seja, um diretório é um banco de dados, com
informações sobre usuários, senhas e outros
elementos necessários ao funcionamento do sistema.
O AD é um exemplo de Diretório. No AD ficam
armazenadas informações como usuários, senhas,
contas de computadores e outras informações
necessárias para uma rede MS Windows Server.
Prof. Pedro Clarindo da Silva Neto
10. Active Directory
Nas diversas tecnologias que empresas de médio e
grande porte utilizam hoje em dia, uma área para
autenticação é exigida por praticamente todos os
sistemas, o que pode muitas vezes ocasionar uma
variada quantidade de cadastro de utilizadores
replicados entre os sistemas. Como exemplo daquele
utilizador que tem muitos "logins" e "senhas" para
acesso aos sistemas da empresa e toda semana
precisa lembrar ou alterar alguma informação de seu
cadastro. Ex: login e senha para acesso a máquina, a
rede, ao e-mail, ao sistema de gestão, sistema de
documentos, etc.
Prof. Pedro Clarindo da Silva Neto
11. Active Directory
Desta forma o usuário fica confuso e a equipe de TI
simplesmente perde tempo com o serviço repetitivo e
de suporte. Um servidor de diretórios como o Open
LDAP ou MS Active Directory recebe esta autenticação
dos muitos sistemas; o protocolo LDAP serve
justamente para outras aplicações quaisquer da
empresa se conectarem e consultarem um servidor de
diretórios.
Prof. Pedro Clarindo da Silva Neto
12. Active Directory
O Active Directory (AD) é uma implementação de
serviço de diretório no protocolo LDAP (Lightweight
Directory Access Protocol) que armazena informações
sobre objetos em uma rede e disponibiliza essas
informações a usuários e administradores desta rede.
(Pense no AD como um banco de dados hierárquico
orientado a objetos que representa todos os seus
recursos de rede.)
Prof. Pedro Clarindo da Silva Neto
13. Active Directory
O LDAP é um protocolo para atualizar e pesquisar
diretórios rodando sobre TCP/IP e segue o modelo de
árvore de nós, onde cada nó representa um conjunto
de atributo com seus valores. O LDAP é uma
alternativa ao DAP - Directory Access Protocol .
Prof. Pedro Clarindo da Silva Neto
14. Active Directory
A idéia é, além de centralizar a autenticação em uma
rede baseada no MS Windows Server, centralizar a
autenticação e demais recursos em todos os serviços
oferecidos pela rede.
Prof. Pedro Clarindo da Silva Neto
15. Active Directory
Prof. Pedro Clarindo da Silva Neto
Nome: José da Silva
Login:jsilva
Senha: ********
Setor: Financeiro
Telefone: 555-4545
Email: jsilva@domain.com
Funcionário José mudou de setor, como
isso refletiria na rede e nos sistemas?
16. Active Directory
Workgroups – Grupos de Trabalho
!
Cada servidor é independente do outro, ou seja, não
compartilham uma lista de usuários, grupos, e outras
informações . Cada servidor tem uma lista de usuários e grupos.
Prof. Pedro Clarindo da Silva Neto
Servidor01 Servidor02 Servidor03
17. Active Directory
Workgroups – Grupos de Trabalho
Prof. Pedro Clarindo da Silva Neto
Servidor01 Servidor02 Servidor03
Usuários
jsilva
maria
pedro
paulo
Usuários
Jsilva
pedro
mauro
Usuários
Jsilva
pedro
Mauro
luis
Exemplos de acesso:
paulo tenta acessar recursos do Servidor01 – OK
paulo tenta acessar recursos do Servidor02 – FAIL
!
pedro altera sua senha, mas somente no Servidor01 – os demais ficam
com a senha antiga.
pedro tenta acessar recursos do Servidor01 com a nova senha – OK
pedro tenta acessar recursos do Servidor02 com a nova senha – FAIL
18. Active Directory
Diretório – Domínio
Base de usuários única, todos os servidores da rede
compartilham a mesma base de usuários. O que ocorre na
prática é que todos os servidores contêm uma cópia da base de
informações do diretório. Alterações efetuadas em um dos
servidores é replicada (repassada) para os demais servidores da
rede, para que todos fiquem com uma cópia idêntica da base de
dados do diretório.
Todos os servidores tem acesso à mesma base de dados, todos
compartilham o mesmo diretório com as mesmas informações
sobre usuários, senhas, grupos de usuários, políticas de
segurança e assim por diante.
Prof. Pedro Clarindo da Silva Neto
19. Active Directory
Diretório – Domínio
Prof. Pedro Clarindo da Silva Neto
Servidor01 Servidor02 Servidor03
!
Usuários
jsilva
maria
pedro
paulo
luis
Exemplos de acesso:
paulo tenta acessar recursos do Servidor01 – OK
paulo tenta acessar recursos do Servidor02 – OK
!
pedro altera sua senha, mas somente no Servidor01 – a senha é replicada
na base.
pedro tenta acessar recursos do Servidor01 com a nova senha – OK
pedro tenta acessar recursos do Servidor02 com a nova senha – OK
20. Active Directory
Domínio
No Windows Server 2008, o conjunto de servidores, estação de
trabalho, bem como as informações do diretório, é que formam
uma unidade conhecida como Domínio. Todos os servidores que
contêm uma cópia da base de dados do Active Directory fazem
parte do domínio. As estações de trabalho podem ser
configuradas para fazerem parte do domínio, cada estação de
trabalho que faz parte do domínio tem uma conta de computador
criada no domínio, que tem o mesmo nome do computador.
Prof. Pedro Clarindo da Silva Neto
Estação de trabalho: financeiro01
Conta de computador na base do AD: financeiro01
21. Active Directory
Domínio
Domínios diferentes possuem permissões de acesso e
segurança diferentes. Um administrador do Domínio A
tem acesso aos recursos deste e somente deste
Domínio. Uma política de segurança implementada no
Domínio B só serve para este domínio.
Um domínio é um agrupamento lógico de contas e
recursos, os quais compartilham políticas de
segurança. As informações sobre os diversos
elementeos do domínio (contas de usuário, contas de
computador, etc..) estão contidas do banco de dados
do AD.
Prof. Pedro Clarindo da Silva Neto
22. Active Directory
Domínio
Em um domínio baseado em AD e no Windows Server
2008 é possível ter 2 tipos de Servidores:
Controladores de Domínio – DC (Domain Controllers)
Servidores Membro – Member Servers
A criação de contas de usuários, grupos de usuários e
outros elementos, além de alterações nas contas,
políticas de segurança entre outras ações do AD
podem ser feitas em qualquer DC que serão replicadas
para os demais DCs.
Prof. Pedro Clarindo da Silva Neto
23. Active Directory
Domínio
Nos servidores membros PODEM ser criadas contas
de usuários e grupos (Contas Locais), mas serão
válidas somente nesse servidor membro. Isso não é
recomendado pois dificulta a administração. Os
servidores membros, como parte integrante do
domínio não possuem uma cópia da lista de usuários
e grupos do AD, porém tem acesso a lista. Com isso,
podem ser atribuidas permissões para acesso aos
servidores membros. Ex: Acessar uma pasta
compartilhada que está no servidor membro. Isso
pode ser feito também em uma estação de trabalho
que está no AD. Prof. Pedro Clarindo da Silva Neto
24. Active Directory
AD - Possui além de um banco de dados com
informações sobre elementos (objetos) que compõe o
domínio, o AD também disponibiliza uma série de
serviços que executam, dentre várias outras, as
seguintes funções:
— Replicação entre os DC;
— Autenticação;
— Pesquisa de objetos na base de dados;
— Interface de programação para acesso aos objetos
do diretório.
Prof. Pedro Clarindo da Silva Neto
25. Active Directory
Os recursos de segurança são integrados com o AD
através do mecanismo de logon (informar nome de
usuário e senha ou cartões inteligentes, certifiados
digitais, etc...), para acesso aos recursos de rede.
Durante o logon, o AD verifica se as informações estão
corretas e e libera o aceso aos recursos para os quais
o usuário tem permissão de acesso.
Prof. Pedro Clarindo da Silva Neto
Active Diretory
Nome de usuário e senha Verifica o logon
Estação de trabalho
membro do AD
26. Active Directory
Os recursos disponíveis através do AD são organizados
de uma maneira hierárquica, através do uso de
Domínios. Uma rede com AD pode ser formada por
um ou mais domínios. Todos os DC possuem o AD
instalado.
O AD utiliza o DNS como serviço de nomeação de
recursos e de resolução de nomes. Um dos pré-
requisitos para instalação do AD é ter o DNS instalado
e corretamente configurado. Isso pode ser feito pelo
próprio assistente de instalação do AD.
Prof. Pedro Clarindo da Silva Neto
27. Active Directory
Todos os domínios possuem as seguintes
características:
— Todos os objetos de uma rede (contas de usuários,
grupos, impressoras, políticas de segurança, etc…)
fazem parte de um único domínio. Cada domínio
armazena informações sobre objetos do seu próprio
domínio.
— Cada domínio possui suas próprias políticas de
segurança, ou seja, não existe herança de políticas
de segurança entre domínio diferentes.
Prof. Pedro Clarindo da Silva Neto
28. Active Directory
Árvore de domínios – são diversos domínios
relacionados através de relações de confiança, criadas
e mantidas automaticamente pelo AD. É um
agrupamento ou arranjo hierárquico de um ou mais
domínios do Windows Server 2008, os quais
“compartilham um espaço de nome”.
Prof. Pedro Clarindo da Silva Neto
ifmt.edu.br
plc.ifmt.edu.br cba.ifmt.edu.br
cas.ifmt.edu.br
compras.plc.ifmt.edu.br
ensino.plc.ifmt.edu.br
Info.cba.ifmt.edu.br
Pai
Filho
Filho
Pai
29. Active Directory
Unidade Organizacional – é uma divisão que pode ser
utilizada para organizar os objetos de um
determinado domínio em um agrupamento lógico para
efeitos de administração. Cada domínio pode
implementar a sua hierarquia de Unidades
Organizacionais, independentemente dos demais
domínios, isto é, os diversos domínios que formam
uma árvore não precisam ter a mesma estrutura
hierárquica de unidades organizacionais. Com o uso
de Unidades Oraganizacionais é possível dar
permissões para um usuário somente para os
recursos (usuários, grupo, computadore, etc…)
contidos naquela OU.
Prof. Pedro Clarindo da Silva Neto
30. Active Directory
Contas de usuários – Todo usuário que quer ter
acesso aos recursos dos computadores do domínio
(pastas compartilhadas, impressoras compartilhadas,
etc..) deve ser cadastrado no AD. Cadastrar o usuário
significa criar uma conta de usuário e uma senha. Ao
cadastrar um usuário, outras informações como
seção, nome completo, endereço, telefone, etc, podem
ser cadastradas. Uma conta de usuário é um objeto do
Active Directory, o qual contém diversas informações
sobre o usuário. Uma vez criada a conta em um DC é
replicada para os demais DCs do domínio.
Prof. Pedro Clarindo da Silva Neto
31. Active Directory
Contas de computador – Todas estações de trabalho
com SO Microsoft , e que fazem parte do domínio,
devem ter uma conta de computador no AD.
Servidores, sejam Members Servers ou DCs, rodando
So de servidor Microsoft também tem contas de
computador no AD. A conta pode ser criada antes de
adicionar o computador ao domínio ou no momento
que o computador é configurado para entrar no
domínio. A conta de computador deve ter o mesmo
nome do computador na rede.
Prof. Pedro Clarindo da Silva Neto
32. Active Directory
Grupos de usuário – É uma coleção de contas de
usuários. Facilita a administração e a atribuição de
permissões para acesso a recursos como: pastas
compartilhadas, impressoras remotas, serviços
diretos, etc... Ao invés de dar per missão
individualmente para cada um dos usuários que
necessitem acessar determinado recurso, cria-se um
grupo, inclui os usuários no grupo e atribui
permissões para o grupo. Para que um usuário tenha
permissão ao recurso basta adicioná-lo ao grupo, pois
todos os usuários de um determinado grupo herdam
as permissões dos grupos aos quais pertence.
Prof. Pedro Clarindo da Silva Neto
33. Active Directory
Grupos de usuário
Prof. Pedro Clarindo da Silva Neto
pasta compartilhada
com acesso para o grupo
Contabilidade
grupo de usuários
Contabilidade
grupo Contabilidade com permissões
34. Active Directory
Grupos de usuário
✤São uma coleção de contas de usuários;
✤Os membros de um grupo herdam as permissões atribuidas ao
grupo;
✤Os usuários podem ser membros de vários grupos;
✤Grupos podem ser membros de outros Grupos;
✤Contas de computadores podem ser membros de um grupo.
✤Os grupos são classificados de acordo com diferentes critérios,
tais como: tipo, escopo e visibilidade.
Prof. Pedro Clarindo da Silva Neto
35. Active Directory
Grupos de usuário
Classificação quanto ao tipo:
Grupos de segurança - normalmente utilizados para
atribuir permissões de acesso aos recursos da rede.
Ex: Criar um grupo Contabilidade, o qual conterá
todas as contas dos funcionários do departamento
contabilidade, e será utilizado para atribuir
permissões de acesso a uma pasta compartilhada.
Prof. Pedro Clarindo da Silva Neto
36. Active Directory
Grupos de usuário
Classificação quanto ao tipo:
Grupos de distribuição - utilizados para funções não
relacionadas com segurança (atribuições de
permissões). Normalmente são utilizados em conjunto
com servidores de email ou de programas aptos a
trabalhar com o AD.
Prof. Pedro Clarindo da Silva Neto
37. Active Directory
Grupos de usuário
Classificação quanto ao escopo
O escopo de um grupo determina em que partes do
domínio ou de uma floresta de domínio o grupo é
visível, ou seja, pode sre utilizado para receber
permissões de acesso aos recursos da rede.
Prof. Pedro Clarindo da Silva Neto
38. Active Directory
Grupos de usuário
Classificação quanto ao escopo
Grupo universal - São grupos que podem ser
utilizados em qualquer parte de um domínio ou da
árvore de domínios e podem conter membros, grupos
e usuários de quaisquer domínio. Pode conter contas
de usuários, outros grupos universais e grupos globais
de qualquer domínio. Pode ser membro de grupos
locais do domínio ou grupos universais de qualquer
domínio. Pode receber permissões para recursos
localizados em qualquer domínio.
Prof. Pedro Clarindo da Silva Neto
39. Active Directory
Grupos de usuário
Classificação quanto ao escopo
Quando se deve utilizar Grupo Universal - quando se
deseja consolidar diversos grupos globais. Você pode
fazer isso criando um grupo universal e adicionando
os diversos grupos globais como membros do grupo
Universal.
Prof. Pedro Clarindo da Silva Neto
40. Active Directory
Grupos de usuário
Classificação quanto ao escopo
Grupo global - é global quandoos locais onde ele pode
receber permissões de acesso, ou seja, um grupo
Global pode receber permissões de acesso em
recursos (pastas compartilhadas, impressoras, etc) de
qualquer domínio. Em resumo: Pode conter contas de
usuários e grupos globais do mesmo domínio , ou
seja, somente pode conter membros do domínio no
qual o grupo é criado.
Prof. Pedro Clarindo da Silva Neto
41. Active Directory
Grupos de usuário
Classificação quanto ao escopo
Grupo global - Pode ser membro de grupos universais
e grupos locais do domínio, de qualquer domínio.
Pode ser membro de qualquer Grupo Global do
mesmo domínio. Pode receber permissões para
recursos localizados em qualquer domínio.
Prof. Pedro Clarindo da Silva Neto
42. Active Directory
Grupos de usuário
Classificação quanto ao escopo
Quando se deve utilizar Grupo Global - para o
gerenciamento dos objetos que sofrem alterações
contantemente, quase que diariamente, tais como
contas de usuários e de computadores. As alterações
feitas em um Grupo Global são replicadas somente
dentro do domínio onde foi criado o grupo Global, e
não através de toda a árvore de domínios. Com isso, o
volume de replicação é reduzido, o que permite a
utilização de Grupos Globais para a administração de
objetos que mudam frequentemente.
Prof. Pedro Clarindo da Silva Neto
43. Active Directory
Grupos de usuário
Classificação quanto ao escopo
Grupo Local - são grupos que somente podem receber
permissões para os recursos do domínio onde foram
criados, porém podem ter como membros grupos e
usuários de outros domínios. Podem conter membros
de qualquer domínio. Somente pode receber
permissões para recursos no domínio no qual o grupo
foi criado. Pode conter contas de usuários, grupos
universais e grupos globais de qualquer domínio. e
outros grupos Locais do próprio domínio. Pode ser
membro de Grupos Locais do próprio domínio.
Prof. Pedro Clarindo da Silva Neto
44. Active Directory
Grupos de usuário
Classificação quanto ao escopo
Quando se deve utilizar Grupo Local - são utilizados
para atribuir permissões de acesso aos recursos da
rede.
Prof. Pedro Clarindo da Silva Neto
45. Active Directory
Grupos de usuário
Grupos Locais
Estratégia recomendada pela Microsoft:
•Criar as contas de usuários;
•Adicionar as contas de usuários a grupos Globais;
•Adicionar os grupos globais ou Universais como
membros dos grupos locais;
•Atribuir permissões de acesso para os grupos
Locais.
Prof. Pedro Clarindo da Silva Neto
46. Active Directory
Prof. Pedro Clarindo da Silva Neto
abc.com
vendas.abc.com prod.abc.com
amer.prod.abc.com eua.prod.abc.comeuro.vendas.abc.com asia.vendas.abc.com