SERVIÇO
DE DIRETÓRIO (ACTIVE DIRECTORY)
É um
serviço que proporciona a estrutura e as funções para organizar, administrar e
controlar o acesso aos recursos de rede. Os serviços de diretório proporcionam
uma forma coerente de nomear, descrever, localizar, obter acesso, administrar e
proteger as informações relativas aos recursos da rede.
SERVIÇO
DE DIRETÓRIO (ACTIVE DIRECTORY)
O
Active Directory possui uma estrutura hierárquica lógica que inclui os
seguintes componentes:
Objetos.
Eles
são os componentes básicos da estrutura lógica.
Classes
do Objeto. São os modelos de tipos de objetos que podem ser criados no Active
Directory. Cada classe de objeto é definida por um grupo de atributos que
estabelece os valores que podem ser associados a um objeto.
SERVIÇO
DE DIRETÓRIO (ACTIVE DIRECTORY)
Unidade
Organizacionais. Você pode utilizar esses contêineres de
objetos para organizar outros objetos com propósitos administrativos.
Organizando os objetos por Unidade Organizacional, é mais fácil localizar e
administrar os objetos. Você também pode delegar autoridade para administrar as
Unidades Organizacionais.
Domínios.
São
as unidades funcionais básicas da estrutura lógica do Active Directory e,
portanto, é uma coleção de objetos administrativos definidos que compartilham,
através de um banco de dados comum do diretório, diretivas de segurança e
relações de confiança com outros domínios.
SERVIÇO
DE DIRETÓRIO (ACTIVE DIRECTORY)
Árvores
de domínio. São domínios agrupados em estruturas hierárquicas.
Quando um segmento domínio é adicionado a uma árvore, ele é convertido em filho
da árvore-raiz do domínio. O domínio ao qual um filho do domínio é adicionado,
é chamado de domínio-pai.
SERVIÇO
DE DIRETÓRIO (ACTIVE DIRECTORY)
Instalar
o Active Directory significa promover o serviço atual a um controlador de
domínio. Todas as funcionalidades do servidor, tais como, contas de usuário,
permissões, só poderão ser implementados logo após a instalação e a
configuração do mesmo.
O
que é um serviço de diretório
Em
nossa agenda podemos organizar, dias, semanas, meses e até anos, passando por
pessoas, nomes, sobrenomes, datas de aniversário, dados importantes dentre
outros.
O
serviço de diretório tem exatamente o mesmo sentido, o sentido de organizar e
principalmente ter um local centralizado para a busca de informações
necessárias no dia a dia, para nossos trabalhos.
Quando
criamos um novo usuário, estamos utilizando o serviço de diretório, nesta base
de dados (agenda), estamos guardando, nomes, sobrenomes, endereços, logins,
senhas, grupos, ao qual o usuário pertence dentre outras tantas opções que
podemos cadastrar, tudo isto ficará disponível dentro de uma base de dados,
esta base de dados poderá ser utilizada pelos nossos servidores para vários
trabalhos.
Vamos
citar três soluções de serviço de diretório:
- Open Ldap para Sistemas Open Source.
- EDirectory para Sistemas Novell.
- Active Directory para Sistemas Microsoft e com suporte para todos acima citados.
No
mercado de hoje nossos negócios precisam ter informações rápidas, de fácil
atualização, alta disponibilidade e principalmente muita segurança e o Active
Directory pode nos oferecer todos estes atributos e muito mais...
Por
que usar o Active Directory?
O
Active Directory assumiu o mercado de serviços de diretório pelo seu
desempenho, segurança e principalmente disponibilidade, o Active Directory esta
no mercado desde o lançamento do Windows 2000 Server, após o seu nascimento
assumiu a liderança dos serviços de diretório, utilizando como base o LDAP e a
comunicação através de replicação lançou vários atributos e principalmente
ferramentas para facilitar o gerenciamento de informações nas empresas.
Hoje
quando usamos um usuário para logar no domínio de nossa empresa, estamos
utilizando um serviço de diretório e por consequência usando o Active
Directory.
Abaixo
temos uma figura para demonstrar todos os recursos que o Active Directory pode
utilizar como serviço de diretório de sua empresa.
Instalação
Active Directory
Siga
os seguintes passos para instalar o Active Directory
- Para instalar o serviço Active Directory pelo Gerenciador de Servidores:
a) Clique
em (Iniciar) > (Painel de Controle) > (Ferramentas Administrativas) >
(Gerenciador de Servidores).
b) Clique
em (Funções).
c) Escolha
(Adicionar Funções) e marque a opção (Serviços de Domínio Active Directory).
d) Clique
em (Avançar).
e) Uma
janela com informações sobre AD DS será aberta.
f) Clique
em (Instalar) e aguarde a instalação.
A
princípio, nossa instalação está concluída, mas existem erros. Vamos fazer as correções.
Infraestrutura
de Active Directory
O
Serviço de Diretório do AD é divido em duas estruturas a estrutura lógica e a
estrutura física, o conhecimento pleno sobre a estrutura do AD é muito
importante, principalmente quando maior for sua estrutura. Nestas explicações
informaremos algumas ferramentas que podem auxiliar na verificação deste
processo, vale lembrar que estamos focando as explicações no Active Directory
do Windows Server 2008 R2, porém estas explicações poderão ser utilizadas em
qualquer uma das versões de Active Directory, nos próximos artigos falaremos
das evoluções para as futuras versões.
Estrutura
Lógica do Active Directory
Quando
falamos de estrutura lógica do Active Directory, muitos termos são falados, a
estrutura lógica do AD consiste em Objetos, Unidades Organizacionais, Domínio,
Árvores de Domínio e Floresta.
Utilizamos
a estrutura lógica do AD para podermos gerenciar os objetos dentro da
organização.
Objetos
São
os componentes mais básicos da estrutura lógica e representam, usuários,
computadores e impressoras. Outros objetos podem ser criados porém esta é uma
discussão posterior.
Unidades
Organizacionais
Geográfica –
Onde as OU’s representam Estadas ou Cidades de sua estrutura física Exemplo: OU
SP - OU RJ
Setorial –
Onde as OU’s representam setores da estrutura física da empresa, por unidade de
negócio. Exemplo: OU Administrativo – OU Produção
Departamental –
Onde as OU’s representam setores da estrutura física da empresa por
departamento. Exemplo: OU RH – OU DP – OU Caldeira
Híbrido –
Modelo onde podemos interagir todos os modelos acima, na Figura abaixo temos um
modelo disto.
Domínios
O
domínio é a estrutura mais importante do Active Directory e tem 2 funções
principais.
Fecham
um limite administrativo para objetos. “Quem esta fora não entra, quem esta
dentro não sai”, claro que esta regra pode sofrer alteração mediante permissões
de entrada e saída, como relações de confiança.
Gerenciam
a segurança de contas e recursos dentro do Active Directory
Vale
lembrar que um domínio do Active Directory compartilham:
Mesmo
banco de dados Ntds.dit com cada Domain Controller dentro deste domínio.
Diretivas
de segurança.
Relações
de Confiança com outros domínios.
Podemos
representar o domínio do Active Directory pela forma geométrica de um triângulo.
Árvores
de Domínio
Quando
precisamos criar um segundo domínio, na maioria das vezes por necessidades no processo
de segurança temos o que chamamos de domínios filhos.
Quando
temos um domínio pai com seus domínios filhos, chamamos de árvore de domínio,
pois dividem o mesmo sufixo DNS, porém em distribuição hierárquica. Abaixo
colocamos um exemplo para ilustrar nossa explicação.
Criamos
o domínio livemotion.local (Figura esquerda abaixo), para podermos configurar
diretivas de segurança, em um dado momento, precisamos criar um domínio novo,
que tenha acesso aos recursos do domínio livemotion.local, porém tenha suas
próprias necessidades de segurança.
Conforme
as figuras acima, podemos ver que quando temos um domínio filho, imediatamente
estamos vinculados a um domínio pai, e esta divisão hierárquica de nome
chamamos de Árvore de Domínios.
Floresta
O
primeiro domínio de uma Floresta, chamamos de Root Domain, a Floresta receberá
o nome deste domínio, a floresta pode ser feita de um único domínio com também
estar dividida com várias árvores dentro da mesma floresta.
Estrutura
Física do Active Directory
Quando
falamos de estrutura física do Active Directory, alguns termos são utilizados,
a estrutura física do AD consiste em Domain Controllers e Sites.
A
estrutura física do AD é totalmente independente da estrutura lógica do AD. A
estrutura física é responsável por timizar o tráfego de rede e manter segurança
em locais físicos distintos.
Domain
Controllers
Bem,
neste momento precisamos aumentar o nível de nossa discussão sobre AD, no
início deste artigo, focamos em explicar o funcionamento do AD, agora iremos
mostrar como o Active Directory funciona nos DC’s.
Um Domain
Controller ou DC tem a função de executar o Active Directory e também armazenar
a base do Active Directory bem como Replicar esta base “alterações” com outros
DC’s.
Quando
falamos de Árvores de Domínio ou até mesmo Floresta, vale lembrar que um DC
pode apenas suportar um único domínio.
Para
criar uma disponibilidade do Active Directory podemos ter mais de um DC, sendo
assim num exemplo de 2 Dc’s temos a base do Active Directory sendo replicada de
forma perfeita entre os dois Dc’s.
A
base do Active Directory o NTDS.dit é divido em partições, conforme a figura demonstrada
abaixo:
Estas
partições formam o arquivo NTDS.dit, este é replicado entre cada um dos DC’s de
seu domínio, conseqüentemente o arquivo é replicado para cada DC, tendo todos
os Dc’s sincronizados logo teremos um Active Directory saudável e que pode
suprir a falha de um DC, sem afetar o serviço de diretório do domínio.
Sites
Os
Sites servem para organizar a latência de replicação de Dc’s dentro do mesmo
site, bem como fazer com que os DC’s daquele determinado Site não utilizem o
link de replicação de forma desnecessária.
Através
da organização por sites do Active Directory, podemos limitar um deternimano
grupo de computadores a estabelecer contato com sua Matriz, ou vice-versa
apenas nos horários de menor fluxo, este conceito chamamos de agendamento de
replicação.
Enfim
os sites do AD são utilizados para fazer com que um determinado Range IP, mesmo
que separados por distâncias físicas, possam propiciar acesso e resposta aos
serviços de diretório e infraestrutura de forma organizada. Porém para que os
dados dos DC’s sejam replicados continuamente ou em horários pré-agendados,
precisamos configurar os Sites e as replicações, com isto mantemos todo nosso
parque atualizado, mesmo trabalhando em grandes distâncias.
A
replicação do Active Directory entre sites pode ser utilizando IP ou SMTP (para
redes lentas).
Conclusão
Para
concluir, gostaria de informar que este artigo foi desenvolvido para todos
aqueles que tem dúvidas sobre o Active Directory, no Windows Server muitas
mudanças foram efetuadas, mas o conceito absorvido neste artigo poderá ser
levado para novas plataformas de Active Directory.
Qualquer
grupo, não importa se um grupo de segurança ou um grupo de distribuição, é caracterizado
por um escopo que identifica a extensão em que o grupo é aplicado à árvore do
domínio ou floresta. O limite, ou alcance, de um escopo de grupo, também é
determinado pelo nível funcional do domínio em que ele reside. Existem três
escopos de grupo: universal, global e domínio local.
A
tabela a seguir descrever as diferenças entre os escopos de cada grupo.
Quando
usar grupos com escopo de domínio local
Os
grupos com escopo de domínio local ajudam a definir e gerenciar o acesso a
recursos em um único domínio. Por exemplo, para fornecer aos usuários acesso a
uma determinada impressora, você pode adicionar todas as cinco contas de
usuário à lista de permissões da impressora. Se, no entanto, mais tarde desejar
fornecer aos cinco usuários acesso a uma nova impressora, terá de especificar
novamente todas as cinco contas na lista de permissões da nova impressora.
Com
um pouco de planejamento, você pode simplificar essa tarefa administrativa
rotineira criando um grupo com escopo de domínio local e atribuindo-lhe
permissão para acessar a impressora. Inclua as cinco contas de usuário em um
grupo com escopo global e adicione esse grupo àquele que tem o escopo de
domínio local. Quando você desejar fornecer aos cinco usuários acesso a uma
nova impressora, atribua ao grupo com o escopo de domínio local permissão para
acessar a nova impressora. Todos os membros do grupo com escopo global
automaticamente recebem acesso à nova impressora.
Quando
usar grupos com escopo global
Use
grupos com escopo global para gerenciar objetos de diretório que exijam
manutenção diária, como contas de usuário e de computador. Como os grupos com
escopo global não são replicados fora de seu próprio domínio, as contas em um
grupo que tem escopo global podem ser alteradas freqüentemente sem que isso
gere tráfego de replicação para o catálogo global. Para obter mais informações
sobre grupos e replicação
Embora
as atribuições de direitos e permissões sejam válidas somente no domínio no
qual são atribuídas, ao aplicar grupos com escopo global de forma uniforme nos
domínios apropriados, você pode consolidar referências a contas com finalidades
semelhantes. Isso simplifica e racionaliza o gerenciamento do grupo nos
domínios. Por exemplo, em uma rede com dois domínios, Europa e Estados Unidos,
se você tiver um grupo com escopo global chamado ContabilidadeGL no domínio
Estados Unidos, crie um grupo chamado ContabilidadeGL no domínio Europa (a
menos que a função de contabilidade não exista no domínio Europa).
É
recomendável usar grupos globais ou grupos universais em vez de grupos de
domínio local ao especificar permissões para objetos de diretório de domínio
replicados para o catálogo global.
Quando
usar grupos com escopo universal
Use
grupos com escopo universal para consolidar os grupos que estendam domínios.
Para fazer isso, adicione as contas a grupos com escopo global e aninhe esses
grupos em grupos que tenham escopo universal. Quando você usa essa estratégia,
as alterações na participação dos grupos que tenham escopo global não afetam os
grupos com escopo universal.
Por
exemplo, em uma rede com dois domínios, Europa e Estados Unidos, e um grupo que
tenha escopo global chamado ContabilidadeGL em cada domínio, crie um grupo com
escopo universal chamado ContabilidadeU para ter como seus membros os dois
grupos ContabilidadeGL: ContabilidadeEstadosUnidos\GL e ContabilidadeEuropa\GL.
O grupo ContabilidadeU pode ser usado em qualquer parte da empresa. Todas as
alterações na participação dos grupos individuais ContabilidadeGL não causarão
a replicação do grupo.
Alterando
o escopo de grupo
Por
padrão, quando um novo grupo é criado, ele é configurado como um grupo de
segurança com escopo global, independentemente do nível funcional do domínio
atual. Embora a alteração de um escopo de grupo não seja permitida em domínios
com o nível funcional de domínio do Windows 2000 misto, as seguintes
conversões são permitidas em domínios com o nível funcional de domínio definido
como Windows 2000 nativo ou Windows Server 2003:
Global
em universal. Essa conversão só será permitida se o
grupo que você deseja alterar não for membro de outro grupo com escopo global.
Domínio local em universal. Essa conversão só será permitida se o grupo que você deseja alterar não tiver outro grupo de domínio local como membro.
Universal em global. Essa conversão só será permitida se o grupo que você deseja alterar não tiver outro grupo de domínio universal como membro.
Universal em domínio local. Não há restrições para essa operação.
Domínio local em universal. Essa conversão só será permitida se o grupo que você deseja alterar não tiver outro grupo de domínio local como membro.
Universal em global. Essa conversão só será permitida se o grupo que você deseja alterar não tiver outro grupo de domínio universal como membro.
Universal em domínio local. Não há restrições para essa operação.
Grupos
em clientes e servidores autônomos
Alguns
recursos de grupo, como grupos universais, aninhamento de grupos e a distinção
entre grupos de segurança e grupos de distribuição, estão disponíveis somente
nos controladores de domínio do Active Directory e em servidores membros. As
contas de grupo no Windows 2000 Professional, Windows XP Professional,
Windows 2000 Server e em servidores autônomos que executam o Windows
Server 2003 funcionam da mesma forma que no Windows NT 4.0.
Somente
grupos locais podem ser criados localmente no computador.
Um
grupo local criado em um desses computadores pode ter permissões somente nesse
computador.
Os
administradores podem usar o controle de acesso para gerenciar o acesso do
usuário a recursos compartilhados por questões de segurança. No Active
Directory, o controle de acesso é administrado no nível do objeto por meio da
configuração de diversos níveis de acesso, ou permissões, aos objetos, como
Controle Total, Gravação, Leitura ou Sem Acesso. O controle de acesso no Active
Directory define como usuários distintos podem usar seus objetos. Por padrão,
no Active Directory, as permissões sobre os objetos são definidas com a
configuração mais segura.
Os
elementos que definem as permissões de controle de acesso sobre os objetos no
Active Directory incluem descritores de segurança, herança de objetos e
autenticação do usuário.
Descritores
de segurança
As
permissões de controle de acesso são atribuídas a objetos compartilhados e
objetos do Active Directory com o objetivo de controlar como usuários diversos
podem utilizar cada objeto. Um objeto compartilhado, ou recurso compartilhado,
é um objeto destinado a ser usado em uma rede por um ou mais usuários, e inclui
arquivos, impressoras, pastas e serviços. Os objetos compartilhados e os
objetos do Active Directory armazenam permissões de controle de acesso em
descritores de segurança.
Um
descritor de segurança contém duas ACLs (listas de controle de acesso) usadas
para atribuir e controlar informações de segurança para cada objeto: a DACL
(lista de controle de acesso discricional) e a SACL (lista de controle de
acesso do sistema).
- Listas de controle de acesso discricional (DACL). As DACLs identificam os usuários e os grupos cujas permissões de acesso a um objeto foram concedidas ou negadas. Se uma DACL não identificar explicitamente um usuário ou um grupo do qual o usuário é membro, o usuário terá o acesso ao objeto negado. Por padrão, uma DACL é controlada pelo proprietário de um objeto ou pela pessoa que criou o objeto. Ela contém ACEs (entradas de controle de acesso) que determinam o acesso do usuário ao objeto.
- Listas de controle de acesso ao sistema (SACL). As SACLs identificam os usuários e os grupos, que você deseja auditar, cujo acesso a um objeto é concedido ou negado. A auditoria é usada para monitorar eventos relacionados à segurança do sistema ou da rede, identificar violações de segurança e determinar a extensão e o local de algum dano. Por padrão, uma SACL é controlada pelo proprietário de um objeto ou pela pessoa que criou o objeto. Uma SACL contém entradas de controle de acesso (ACEs) que determinam se será necessário registrar uma tentativa bem ou malsucedida de um usuário em obter acesso a um objeto por meio de determinada permissão, como, por exemplo, <b>Controle total</b> ou <b>Leitura</b>.
Herança
de objeto
Por
padrão, os objetos do Active Directory herdam ACEs do descritor de segurança
localizado em seu respectivo objeto de recipiente. A herança habilita
informações de controle de acesso definidas em um objeto de recipiente no
Active Directory a serem aplicadas aos descritores de segurança dos objetos
subordinados, inclusive outros recipientes e seus objetos. Esse procedimento
elimina a necessidade de aplicar permissões toda vez que um objeto filho é
criado. Se necessário, você poderá alterar as permissões herdadas. Entretanto,
como prática recomendada, evite alterar as permissões padrão ou as
configurações de herança dos objetos do Active Directory.
Autenticação
do usuário
O
Active Directory também autentica e autoriza usuários, grupos e computadores a
acessarem objetos na rede. A LSA (autoridade de segurança local) é responsável
pelo subsistema de segurança de todos os serviços de autenticação e autorização
interativos do usuário em um computador local. A LSA também é usada para
processar solicitações de autenticação efetuadas através do protocolo
Kerberos V5 ou NTLM no Active Directory.
Depois
que a identidade de um usuário é confirmada no Active Directory, a LSA no
controlador de domínio responsável pela autenticação gera um símbolo de acesso
do usuário e associa uma SID (identificação de usuário) ao usuário.
Símbolo
de acesso. Quando um usuário é autenticado, a LSA cria
um símbolo de acesso de segurança para ele. Um símbolo de acesso contém o nome do usuário, os grupos aos quais o usuário pertence, um SID para o usuário e todos os SIDs dos grupos aos quais o usuário pertence. Se você adicionar um usuário a um grupo depois que o símbolo de acesso for emitido, o usuário deverá fazer logoff e logon novamente para que o símbolo de acesso seja atualizado.
um símbolo de acesso de segurança para ele. Um símbolo de acesso contém o nome do usuário, os grupos aos quais o usuário pertence, um SID para o usuário e todos os SIDs dos grupos aos quais o usuário pertence. Se você adicionar um usuário a um grupo depois que o símbolo de acesso for emitido, o usuário deverá fazer logoff e logon novamente para que o símbolo de acesso seja atualizado.
Identificação
de segurança (SID) O Active Directory atribui SIDs
automaticamente a objetos de segurança no momento em que eles são criados. Os
objetos de segurança são contas do Active Directory que podem receber
permissões, como contas de computador, de grupo ou de usuário. Depois de
emitido para o usuário autenticado, o SID será anexado ao símbolo de acesso do
usuário.
As
informações contidas no símbolo de acesso são usadas para determinar o nível de
acesso aos objetos sempre que o usuário tentar acessá-los. Os SIDs no símbolo
de acesso são comparados com a lista de SIDs que compõem a DACL do objeto para
garantir que o usuário tenha permissão suficiente para acessar o objeto. Isso
ocorre porque o processo de controle de acesso identifica as contas de usuário
por SID e não por nome.
Importante
Quando
um controlador de domínio oferece um símbolo de acesso a um usuário, o símbolo
contém apenas informações sobre membros dos grupos de domínio local se esses
grupos estiverem localizados no domínio do controlador. Para os objetos de
diretório de domínio replicados no catálogo global, esse fato requer certas
considerações de segurança.
Fonte:
Maschietto,
Leandro Cesari – Bacharel em Sistemas de Informação, Técnico em
Telecomunicações – CREA 2609746423 – Gerente Técnico e Monitor Educação
Profissional SENAC-SP.
SOUSA,
Maxuel Barbosa de
Windows
Server 2008
Rio
de Janeiro: Editora Ciência Moderna Ltda., 2010
http://windows.microsoft.com/pt-br/windows7/what-is-the-difference-between-a-domain-a-workgroup-and-a-homegroup
http://technet.microsoft.com/pt-br/library/jj206711.aspx
.png)
Nenhum comentário:
Postar um comentário