Conclusão
Entender os fundamentos teóricos do Active Directory é fundamental. Sem isso você até pode seguir uma receita de bolo, passo-a-passo, mas dificilmente entenderá exatamente o que está fazendo.
Você aprendeu que o Active Directory, basicamente, é uma base de dados e um conjunto de serviços. Na base de dados do Active Directory estão informações sobre todos os objetos da rede, tais como: usuáros, grupos, computadores, impressoras, servidores, domínios, unidades organizacionais e assim por diante. Os serviços do Active Directory permitem a manutenção, atualização e replicação desta base de dados, além de fornecer serviços de pesquisa de objetos.
Iniciei essa série de posts apresentando o conceito de diretório. Você aprendeu que até mesmo uma lista telefônica pode ser considerada um exemplo de diretório. Você também ficou sabendo que, na prática, existem vários diretórios na rede das empresas. Por isso que o usuário é obrigado a utilizar diferentes senhas para acessar os dieferentes sistemas da empresa. De uma maneira simplificada, para cada diretório existente na rede, uma senha.
Também falei sobre as diferenças entre uma rede baseada no conceito de Workgroup e uma rede baseada em diretórios. A rede baseada em Workgroup é difícil de administrar, sendo recomendada somente para pequenas redes, onde existe um único servidor e não mais do que 10 estações de trabalho. Já redes baseadas em diretórios podem crescer e atender a milhares de usuários e dezenas, até mesmo centanas ou milhares de servidores.
Neste momento mostrei o papel do Windows Server 2003 dentro de uma rede baseada em domínios. Um servidor baseado no Windows Server 2003 pode assumir o papel de DC (Domain Controler – Controlador de domínio). No DC fica uma cópia integral da base de dados do Active Directory. Esta base pode sofrer alterações, as quais devem ser replicadas para os demais DCs do domínio.
Em seguida, já tratando sobre o Active Directory, apresentei o conceito de Domínio. Você aprendeu que um domínio, basicamente, é uma divisão lógica da rede. Um domínio consiste também em uma divisão administrativa e de segurança.
Um domínio pode conter diversos objetos, tais como usuários, grupos de usuários, contas de computadores e assim por diante. Todas estas informações ficam armazenadas na base de dados do Active Directory.
A utilização de Unidades Organizacionais ajuda a eliminar alguns problemas de Administração existentes no NT Server 4.0. Com o uso de Unidades Organizacionais é possível fazer uma divisão lógica do domínio, divisão esta baseada em critérios geográficos ou funcionais. Com o uso de Unidades Organizacionais é possível delegar permissões administrativas a nível da Unidade Organizacional e não somente no nível de domínio, como ocorria com o NT Server 4.0.
Você também aprendeu sobre os tipos de grupos existentes no Active Directory. Mostrei que, quanto ao tipo, os grupos são dividios em Grupos de distribuição e Grupos de segurança. Somente grupos de segurança podem ser utilizados para atribuir permissões de acesso a recursos tais como pastas compartilhadas, impressoras compartilhadas, etc. Os grupos de distribuição são utilizados para envio de mensagens de email para todos os membros do grupo.
Os grupos também são classificados quanto ao escopo, em: Universais, Globais e Locais. Um grupo Universal pode conter membros e outros grupos de qualquer domínio e pode receber permissões de acesso em recursos de qualquer domínio. Os grupos Globais podem ter como membros somente objetos do próprio domínio, porém podem receber permissões de acesso em objetos de outros domínios. Os grupos locais podem conter membros de outros domínios, mas somente podem receber permissões de acesso a recursos do próprio domínio. Em seguida apresentei vários estudos de caso para fixação dos conceitos de grupos, principalmente em relação ao escopo de grupos: Universal, Global e Local.
Você pode dividir a rede da sua empresa em vários domínios, criando assim uma árvore de domínios. Mostrei que dentro da árvore deve ser utilizado um espaço de nomes contínuo, no qual o nome do objeto filho deve conter todo o nome do objeto pai.
Seguindo o estudo do Active Directory, apresentei o importante conceito de Catálogo Global. Pelo menos um DC de cada domínio atua também como Servidor de Catálogo Global. No DC está a cópia completa da base de dados do domínio do DC. No Servidor de Catálogo Global está a cópia completa da base de dados do domínio do Servidor de Catálogo Global e uma cópia parcial (somente alguns atributos) da base de dados de todos os demais domínios da floresta. O Servidor de Catálogo Global ajuda a reduzir o tráfego de rede e a agilizar as pesquisas realizadas no Active Directory. O Administrador pode configurar mais DCs do domínio para que também atuem como Servidores de Catálogo Global.
Avançando um pouco mais, você aprendeu que é possível reunir duas ou mais árvores de domínios para formar uma floresta. O que caracteriza uma árvore de domínios é o espaço de nomes contínuo, conforme descrito anteriormente. É possível juntar duas ou mais árvores para formar uma floresta de domínios.
Outro conceito muito importante é o de relações de confiança. Neste tópico fiz um pequeno histórico sobre como eram as relações de confiança na época do NT Server 4.0. Você aprendeu que no NT Server 4.0, as relações de confiança eram unidirecionais, não transitivas e tinham que ser criadas e mantidas manualmente pelo administrador. Já no Windows 2000 Server e no Windows Server 2003, as relações de confiança são criadas automaticamente, são transitivas e são bi-direcionais.
Em seguida foi o momento de falar sobre a divisão física do Active Directory e sobre replicação. Domínios, árvores, florestas, etc, constituem a estrutura e a divisão lógica do Active Directory. O conceito de sites representa a estrutura e a divisão física do Active Directory. O principal objetivo de dividir a rede em sites é para que o KCC (serviço do Active Directory responsável por determinar um esquema de replicação otimizado) possa determinar qual o melhor esquema de replicação a ser utilizado, mantendo um equilíbrio entre o tempo de atualização dos DCs e a quantidade de informações de replicação a ser gerada nos links de WAN.
Para finalizar essa série de posts você aprendeu um pouco sobre os níveis de funcionalidade de um domínio e também da floresta.Repito, os conceitos teóricos vistos neste capítulo são fundamentais e serão necessários em todos os demais capítulos do livro. Se você ficou com dúvida sobre um dos conceitos, peço que você volte e releia o referido conceito. É muito importante que você entenda os diversos elementos que compõem o Active Directory, tanto em sua estruturação lógica, quanto em sua estruturação física.
Nenhum comentário:
Postar um comentário