Fundamentos em: Domínios, Árvores de domínios e Unidades Organizacionais - Conceitos
Pré-Requisitos: Definição de diretório e redes baseadas em diretórios.
Metodologia: Apresentar o conceito de Domínio e de hierarquia de domínios.
Agora que você já conhece bem a diferença entre um modelo de rede baseada em Workgroup e outro de rede baseada em diretórios, é hora de avançar um pouco mais e nós aproximar da terminologia do Active Directory. Neste post vou apresentar o conceito de diretório. Não um conceito formal, mas sim como ele é utilizado em redes baseadas no Active Directory e no Windows Server 2003.
No Windows Server 2003, o conjunto de servidores, estações de trabalho, bem como as informações do diretório é que formam uma unidade conhecida como Domínio. Todos os servidores que contém uma cópia da base de dados do Active Directory, fazem parte do domínio. As estações de trabalho podem ser configuradas para fazer parte do domínio. No caso de estações de trabalho com o NT Workstation 4.0, Windows 2000 Professional ou Windows XP Professional, cada estação de trabalho que faz parte do domínio, tem uma conta de computador criada no domínio. A conta de computador tem o mesmo nome do computador. Por exemplo, a estação de trabalho micro-cont-001, tem uma conta de computador, na base de dados do Active Directory, com o nome de micro-cont-001.
Um domínio pode também ser definido com um limite administrativo e de segurança. Ele é um limite administrativo, pois as contas de Administrador tem permissões de acesso em todos os recursos do domínio, mas não em recursos de outros domínios. Ele é um limite de segurança porque cada domínio tem definições de políticas de segurança que se aplicam as contas de usuários e demais recursos dentro de domínio e não a outros domínios. Ou seja, diferentes domínios podem ter diferentes políticas e configurações de segurança. Por exemplo, no domínio A, posso ter uma política de segurança que define um tamanho mínimo de senha como 8 caracteres. Esta política será válida para todas as contas de usuário do domínio A. Um segundo domínio B, pode ter uma política de segurança diferente, a qual define um tamanho mínimo de senha de 12 caracteres. Esta política será válida para todas as contas de usuáros do domínio B.
Um Domínio é simplesmente um agrupamento lógico de contas e recursos, os quais compartilham políticas de segurança. As informaçõe sobre os diversos elementos do domínio (contas de usuários, contas de computador, grupos de usuários, políticas de segurança, etc), estão contidas no banco de dados do Active Directory.
Em um domínio baseado no Active Directory e no Windows Server 2003 é possível ter dois tipos de servidores Windows Server 2003:
Controladores de Domínio (DC – Domain Controlers)
Servidores Membro (Member Servers).
Falarei um pouco mais sobre Controladores de Domínio e Servidores Membro no final deste tópico.
A criação de contas de usuários, grupos de usuários e outros elementos do Active Directory, bem como alterações nas contas de usuários, nas políticas de segurança e em outros elementos do Active Directory, podem ser feitas em qualquer um dos Controladores de Domínio. Uma alteração feita em um DC será automaticamente repassadas (o termo técnico é “replicada”) para os demais Controladores de Domínio. Por isso se você cria uma conta para o usuário jsilva e cadastra uma senha para este usuário, essa conta passa a ser válida em todo o domínio, sendo que o usuário jsilva pode receber permissões para acessar recursos e serviços em qualquer servidor do Domínio, seja em um Controlador de Domínio ou em um Servidor Membro.
Por isso que o Domínio transmite a idéia de um agrupamento lógico de Contas de Usuários e Grupos, bem como de políticas de segurança, uma vez que todo o Domínio compartilha a mesma lista de Usuários, Grupos e políticas de segurança. A criação de domínios facilita enormemente a administração de uma rede baseada no Windows Server 2003, sendo altamente recomendada para qualquer rede de maior porte seja criada com base em um ou mais domínios (dependendo do porte da rede).
Nos Servidores Membros podem ser criadas contas de usuários e grupos, as quais somente serão válidas no Servidor Membro onde forem criadas. Embora isso seja tecnicamente possível, essa é uma prática não recomendada, uma vez que isso dificulta enormemente a administração de um Domínio. Você pode atribuir permissões para os Recursos de um Servidor Membro, à contas de Usuários e Grupos do domínio, sem a necessidade de criar esses usuários ou grupos localmente. Por exemplo, um usuário jsilva, que pertence ao domínio, pode receber permissões de acesso em uma pasta compartilhada de um Servidor Membro. Com isso você pode concluir que um Servidor Membro, é um servidor que embora não mantenha uma cópia da lista de usuários e grupos do Active Directory, este tem acesso a essa lista. Com isso que podem ser atribuídas permissões nos recursos do Servidor Membro (tais como pastas compartilhadas, impressoras, etc ) para as contas e grupos do Domínio.
Em um Domínio todos os Controladores de Domínio, compartilham uma lista de usuários, grupos e políticas de segurança, além de algumas outras características que falarei no tópico sobre o Active Directory. Além disso alterações feitas em um dos Controladores de Domínio, são automaticamente replicadas para os demais.
Os DCs também são responsáveis por fazer a autenticação dos usuários na rede. Por exemplo, vamos supor que o usuário jsilva trabalha em uma estação de trabalho com o Windows XP Professional instalado. Esta estação foi configurada para fazer parte de um domínio. Quando o usuário jsilva liga a estação de trabalho e o Windows é inicializado, é apresentada a tela de logon para que ele forneça o seu nome de usuário e senha. O Windows precisa verificar se o nome de usuário e senha estão corretos. A Windows tenta localizar um DC na rede. É no DC que a verificação é feita, comparando as informações digitadas pelo usuário, com as informações da base de dados do Active Directory. Se as informações estão OK o logon é liberado, o usuário é autenticado e a área de trabalho do Windows é exibida.
A partir destem momento, toda vez que o usuário tentar acessar um recurso do domínio, será apresentada a sua autenticação, para provar a identidade do usuário para a rede. Isso evita que o usuário tenha que entrar com o seu logon e senha cada vez que for acessar um recurso em um servidor diferente (que é justamente o que acontece no modelo baseado em Workgroup, conforme descrito anteriormente).
Como os Servidores Membro não possuem uma cópia da lista de usuários e grupos, estes não efetuam a autenticação dos clientes e também não armazenam informações sobre as políticas de segurança para o Domínio – as quais também são conhecidas por GPO – Group Polices Objects.
Nota: Estações de trabalho com o Windows XP Home, não podem ser configuradas para fazer parte de um domínio. Estações de trabalho com o Windows 95/98/Me podem ser configuradas para fazer parte de um domínio. Para ter acesso a maioria dos recursos do Active Directory, também é preciso instalar o Active Directory Client, nas estações de trabalho com o Windows 95/98/Me. Uma estação de trabalho com o NT Workstation 4.0 também pode ser configurada para fazer parte de um domínio baseado no Active Directory e no Windows Server 2003.
Quando os servidores Windows Server 2003 são configurados para trabalhar com um Workgroup, não existe o conceito de domínio e nem de Controlador de Domínio. Cada servidor mantém uma lista separada para contas de usuários, grupos e políticas de segurança. Com isso se um usuário precisa acessar recursos em três servidores, por exemplo, será necessário criar uma conta para esse usuário nos três servidores diferentes. Um Workgroup somente é recomendado para redes extremamente pequenas, normalmente com um único servidor Windows Server 2003 e não mais do que 10 estações clientes, conforme descrito anteriormente.
Active Directory
Mas de uma maneira simples, o que é o Active Directory ?
“O Active Directory é o serviço de diretórios do Windows Server 2003. Um Serviço de Diretórios é um serviço de rede, o qual identifica todos os recursos disponíveis em uma rede, mantendo informações sobre estes dispositivos (contas de usuários, grupos, computadores, recursos, políticas de segurança, etc) em um banco de dados e torna estes recursos disponíveis para usuários e aplicações.”
Pode parecer que o Active Directory é, na verdade um banco de dados. Mas não é só isso. Além do banco de dados com informações sobre os elementos (tecnicamente conhecidos como objetos) que compõem o domínio, o Active Directory também disponibiliza uma série de serviçoes quem executam as seguintes funções:
- Replicação entre os Controladores de domínio
- Autenticação
- Pesquisa de objetos na base de dados
- Interface de programação para acesso aos objetos do diretório
Pela descrição formal, é possível inferir que o Active Directory é um serviço de rede, no qual ficam armazenadas informações sobre dados dos usuários, impressoras, servidores, grupos de usuários, computadores e políticas de segurança. Cada um desses elementos são conhecidos como objetos.
O Active Directory além de armazenar uma série de informações sobre os objetos disponíveis na rede (contas de usuários, grupos de usuários, servidores, computadores, etc), torna fácil para o administrador localizar e fazer alterações nos objetos existentes, bem como criar novos objetos ou exlcuir objetos que não sejam mais necessários. Em resumo, com o conjunto de serviços oferecidos pelo Active Directory, a administração da rede fica bem mais fácil.
Os recursos de segurança são integrados com o Active Directory, através do mecanismo de logon e autenticação. Todo usuáro tem que fazer o logon (informar o seu nome de usuário e senha), para ter acesso aos recursos da rede. Durante o logon o Active Directory verifica se as informações fornecidas pelo usuáro estão corretas e então libera o acesso aos recursos para os quais o usuário tem permissão de acesso.
Os recursos disponíveis através do Active Directory , são organizados de uma maneira hierárquica, através do uso de Domínios. Uma rede na qual o Active Directory está instalado, pode ser formada por um ou mais Domínios. Com a utilização do Active Directory um usuário somente precisa estar cadastrado em um único Domínio, sendo que este usuário pode receber permissões para acessar recursos em qualquer um dos Domínios.
A utilização do Active Directory simplifica em muito a administração, pois fornece um local centralizado, através do qual todos os recursos da rede podem ser administrados. Todos os Controladores de Domínio, possuem o Active Directory instalado. A Maneira de criar um domínio é instalar o Active Directory em um Member Server e informar que este é o primeiro Controlador de Domínio. Depois de criado o domínio (a parte prática da criação de domínios será vista no Capítulo 8.) você pode criar DCs adicionais, simplesmente instalando o Active Directory em um ou mais servidores.
O Active Directory utiliza o DNS (Domain Name System) como serviço de nomeação de servidores e recursos e de resolução de nomes. Por isso um dos pré-requisitos para que o Active Directory possa ser instalado e funcionar perfeitamente é que o DNS deve estar instalado e corretamente configurado.
Novidade: No Windows Server 2003, o assistente de instalação do Active Directory é capaz de instalar e configurar o DNS, caso ele não encontre um servidor DNS adequadamento configurado na rede. Esta não chega a ser exatamente uma novidade. O que ocorre na prática, é que o assistente de instalação do Active Directory, no Windows Server 2003, consegue na maioria das vezes configurar o DNS corretamente, o que não ocorria no Windows 2000 Server.
O Agrupamento de objetos em um ou mais Domínios permite que a rede de computadores reflita a organização da sua empresa. Para que um usuário cadastrado em um domínio, possa receber permissões para acessar recursos em outros domínios, o Windows Server 2003 cria e mantém relações de confiança entre os diversos domínios. As relações de confiança são bidirecionais e transitivas. Isso significa se o Domínio A confia no Domínio B, o qual por sua vez confia em um Domínio C, então o Domínio A também confia no Domínio C. Isso é bastante diferente do que acontecia até o NT Server 4.0, uma vez que as relações de confiança tinham que ser criadas e mantidas pelos administradores dos domínios, uma a uma. Era um trabalho e tanto, o que difucultava a implementação de relações de confiança em uma rede com muitos domínios.
Todo Domínio possui as seguintes características:
- Todos os objetos de uma rede (contas de usuários, grupos, impressoras, políticas de segurança, etc) fazem parte de um único domínio.
- Cada domínio somente armazena informações sobre os objetos do próprio domínio.
- Cada domínio possui suas próprias políticas de segurança.
Árvore de domínios:
Quando existem diversos domínios relacionados através de relações de confiança, criadas e mantidas automaticamente pelo Active Directory, temos uma Árvore de domínios. Uma árvore nada mais é do que um agrupamento ou arranjo hierárquico de um ou mais domínios do Windows Server 2003, os quais “compartilham um espaço de nome.”
Vou explicar em detalhes o que significa a expressão “compartilham um espaço de nome”. Primeiramente observe a Figura 1.
 |
| Figura 1 Todos os domínios de uma árvore compartilham um espaço de nomes em comum. |
Observe que é exibida uma árvore com 7 domínios. Mas o que significa mesmo “compartilham um espaço de nome”?
Observe que o domínio inicial é microsoft.com. Os domínios seguintes são: vendas.microsoft.com e suporte.microsoft.com. Quando é formada uma hierarquia de domínios, compartilhar um espaço de nomes, significa que os nomes dos objetos filho (de segundo nível, por exemplo: vendas.microsoft.com e suporte.microsoft.com), contém o nome do objeto pai (microsoft.com). Por exemplo, vendas.microsoft.com contém microsoft.com. Descendo mais ainda na hierarquia, você pode observar que este fato continua verdadeiro. Por exemplo o objeto filho sistemas.vendas.microsoft.com contém o nome do objeto Pai vendas.microsoft.com.
Com isso uma árvore de diretórios deste tipo forma um espaço de nomes contínuo, onde o nome do objeto filho sempre contém o nome do objeto pai.
Unidades Organizacionais
Você pode ainda dividir um Domínio em “Unidades Organizacionais”. Uma Unidade Organizacional é uma divisão que pode ser utilizada para organizar os objetos de um determinado domínio em um agrupamento lógico para efeitos de administração. Isso resolve uma série de problemas que existiam em redes baseadas no NT Server 4.0. No Windows NT Server 4.0 se um usuário fosse adicionado ao grupo Administradores (grupo com poderes totais sobre qualquer recurso do domínio), ele poderia executar qualquer ação em qualquer servidor do domínio. Com a utilização de Unidades Organizacionais, é possível restringir os direitos administrativos apenas a nível da Unidade Organizacional, sem que com isso o usuário tenha poderes sobre todos os demais objetos do Domínio.
Cada domínio pode implementar a sua hierarquia de Unidades Organizacionais, independentemente dos demais domínios, isto é, os diversos domínios que formam uma árvore, não precisam ter a mesma estrutura hierárquica de unidades organizacionais.
No exemplo da Figura 1, o domínio vendas.microsoft.com, poderia ter uma estrutura hierárquica de Unidades Organizacionais, projetada para atender as necessidades do domínio vendas. Essa estrutura poderia ser completamente diferente da estrutura do domínio suporte.microsoft.com, a qual será projetada para atender as necessidades do domínio suporte. Com isso tem-se uma flexibilidade bastante grande, de tal forma que a árvore de domínios e a organização dos domínios em uma hierarquia de Unidades Organizacionais, possa atender perfeitamente as necessidades da empresa. A utilização de Unidades Organizacionais não é obrigatória, porém altamente recomendada,conforme mostrarei em alguns exemplos mais adiante.
Utilize Unidades Organizacionais quando:
- Você quiser representar a estrutura e organização da sua companhia em um domínio. Sem a utilização de Unidades Organizacionais, todas as contas de usuários são mantidas e exibidas em uma única lista, independente da localização, departamento ou função do usuário.
- Você quiser delegar tarefas administrativas sem para isso ter que dar poderes administrativos em todo o Domínio. Com o uso de Unidades Organizacionais, você pode dar permissões para um usuário somente a nível da Unidade Organizacional.
- Quiser facilitar e melhor acomodar alterações na estrutura da sua companhia. Por exemplo, é muito mais fácil mover contas de usuários entre Unidades Organizacionais do que entre domínios, embora no Windows Server 2003 seja bem mais fácil mover uma conta de um domínio para outro, do que era no Windows 2000 Server.
Com a apresentação destes conceitos, você já está habilitado a estudar os elementos do Active Directory em mais detalhes.
Nenhum comentário:
Postar um comentário