HOME ÍNDICE BREVE BREVE BREVE BREVE COMO BAIXAR NO BLOG

WINDOWS SERVER 2003: ACTIVE DIRECTORY 6ª PARTE - PERMISSÕES EM MÚLTIPLOS DOMÍNIOS

Fundamentos em: Atribuição de permissões em múltiplos domínios



Pré-Requisitos: Definição dos conceitos de diretório, domínios, usuários e grupos.
Metodologia: Apresentar exemplos teóricos com redes de múltiplos domínios.
Técnica: Estudos de caso para analisar os diversos elementos já apresentados.

Neste tópico vou analisar um exemplo de uma rede onde existe uma árvore de domínios, ou seja, vários domínios formando uma árvore de domínios. Com base no diagrama apresentado na Figura 1, apresento alguns estudos de caso logo em seguida.


Figura 1. Uma árvore de domínios.

Uma árvore com sete domínios:

No diagrama proposto na Figura 1, é exibida uma árvore com sete domínios. O domínio principal, também conhecido como domínio root tem o nome DNS: abc.com. Um domínio tem normalmente dois nomes:

  • O nome DNS, que é o nome completo, no padrão do DNS. No nosso exemplo temos os domínios: abc.com, vendas.abc.com, prod.abc.com e assim por diante.
  • O nome NETBIOS do domínio, que normalmente é a primeira parte do nome DNS. No nosso exemplo temos os domínios: ABC, VENDAS, PROD, EURO e assim por diante.

Observe que a árvore forma um espaço contínuo de nomes, conforme descrito anteriormente. Cada domínio filho contém o nome completo do domínio pai. Veja a descrição a seguir:

Domínio root – principal:

abc.com

Domínios de segundo nível, “filhos” do abc.com – contém abc.com no nome:

vendas.abc.com
prod.abc.com

Domínios de terceiro nível, “filhos” dos domínios de segundo nível – contém o nome do domínio de segundo nível:

Filhos do vendas.abc.com:

euro.vendas.abc.com
asia.vendas.abc.com

Filhos do prod.abc.com:

amer.prod.abc.com
eua.prod.abc.com

Neste exemplo temos uma árvore com sete domínios. Este é um exemplo de árvore de domínios perfeitamente possível de ser implementada com o Windows Server 2003 e Active Directory. Nesta árvore o primeiro domínio a ser instalado deve ser o domínio root: abc.com. Em segunda um dos domínios filhos, por exemplo vendas.abc.com e assim por diante.

Um pouco sobre nomenclaturas de objetos no domínio, LDAP e caminhos UNC:

O Active Directory além de uma base de dados e um conjunto de serviços, também interage e dependo de vários outros serviços e padrões para o seu completo funcionamento. Já citamos anteriormente que o DNS é o serviço de resolução de nomes no qual se baseia o Active Directory. O Active Directory foi projetado baseado em padrões de diretórios, definidos por entidades internacionais de padronização.

Entidades internacionais tais como a Internactional Telecommunication Union (ITU), International Organization for Standardization (ISSO) e o Internet Enginnering Task Force (IETF) trabalham em conjunto ou em colaboração para definir uma série de padrões que dão suporte a serviços de diretórios. Um padrão de uso genérico é o X.500. Este padrão apesar de sua grande abrangência é bastante complexo e acabou por não ser adotado na sua íntegra como um padrão de mercado para a criação de serviços de diretórios. Um padrão mais “light” e que efetivamente tornou-se um padrão de mercado é o LDAP – Lightweight Directory Access Protocol. O protocolo LDAP fornece mecanismos de acesso aos objetos do Active Directory, de tal maneira que qualquer programa ou sistema habilitado ao padrão LDAP, seja capaz de acessar as informações do Active Directory. No início do capítulo, quando falei sobre diretórios, múltiplas senhas e afirmei que a visão de futuro da Microsoft é uma empresa onde todos os sistemas sejam integrados com o Active Directory, eu estava pensando no padrão LDAP. Com o uso deste padrão, é possível desenvolver sistemas integrados com o Active Directory.

O padrão LDAP define um sistema de nomeação hierárquico, através do qual é possível referenciar qualquer objeto do Active Directory. Você deve estar pensando que o LDAP e o DNS estão sendo utilizados para a mesma função. Não é exatamente isso. Sem entrar nas especificações técnicas de cada protocol, arrisco a fazer as seguintes colocações:

  • O DNS é o sistema de resolução de nomes utilzados pelos clientes para localizar recursos na rede, tais como o nome de um servidor ou uma pasta compartilhada em um servidor.
  • O LDAP é um padrão para acesso e referência aos objetos do Active Directory. Com base neste padrão é possível criar APIs (Application Program Interfaces) que facilitam a criação de aplicações integradas ao Active Directory.

Um nome LDAP é formato pelo caminho completo do objeto, partindo do domínio raiz, até chegar ao objeto referenciado. Nesta nomenclatura hierárquica são utilizados algmas abreviaturas, conforme descrito a seguir:

  • CN: common name: por exemplo, o nome da conta de um usuário, grupo ou computador.
  • OU: faz referência a uma unidade organizacional.
  • DC: um componente de domínio. Normalmente o nome de um domínio.
  • O: Nome da organização. Normalmente representado pelo nome do domínio Root.
  • C: Country: Identificação de país. Não é normalmente utilizado.

Para entender como é formado um nome LDAP, é melhor analisarmos alguns exemplos. Considere os exemplos a seguir:

  • CN=jsilva,OU=contabilidade,DC=vendas,DC=abc.com -> Este nome representa o usuário jsilva, cuja conta está contida na unidade organizacional contabilidade, no domínio vendas.abc.com (observe que juntamos os dois componentes de domínio).
  • CN=maria,OU=auditoria,OU=financas,DC=euro,DC=vendas,DC=abc.com -> Este nome representa o usuário maria, cuja conta está contida na unidade organizacional auditoria, a qual está contida dentro da unidade organizacional finacas do domíno euro.vendas.abc.com.

Conforme já descrito anteriormente, os nomes LDAP e o protocolo LDAP são importantes para quem pretende desenvolver aplicações integradas com o Active Directory. Para efeitos de localização de recursos e identificação de objetos da rede, interessa mais o nome DNS e a nomenclatura de objetos do domínio, conforme descreverei logo a seguir.

A nomenclatura para localização de recursos em um servidor segue o padrão UNC Universal Naming Convention. Neste padrão um recurso é identificado pelo nome do servidor, separado do nome do recurso por uma barra. Considere os exemplos a seguir:

\\server01.vendas.abc.com\documentos

Este é o caminho para uma pasta compartilhada com o nome de compartilahmento “documentos”, no servidor server01 do domínio vendas.abc.com. Ao invés do nome DNS do servidor também poderia ser utilizado o número IP do servidor, como no exemplo a seguir:

\\10.10.20.5\documentos

Outro exemplo:

\\pr-server.prod.abc.com\laser01

Este é o caminho para uma impressora compartilhada com o nome de compartilahmento “laser01”, no servidor pr-server do domínio prod.abc.com. Ao invés do nome DNS do servidor também poderia ser utilizado o número IP do servidor, como no exemplo a seguir:

\\10.10.30.5\laser01

Outro ponto que convém ser abordado neste momento é a nomenclatura simplificada de identificação dos usuários. Considere o exemplo a seguir:

vendas.abc.com\jsilva

Este nome faz referência ao usuário jsilva do domínio vendas.abc.com. Outra forma de referência seria utilizar apenas o nome NETBIOS do domínio, ao invés do nome DNS completo, como no exemplo a seguir:

VENDAS\jsilva

O padrão é NomeDoDomínio\NomeDoObjeto

Agora que já apresentei os aspectos básicos de nomeação de objetos e recursos no Active Directory, é hora de apresentar alguns estudos de casos, para que você possa entender, na prática, os escopos de grupos (Universal, Global e Local) e como é feita a utilização de grupos para simplificar o processo de atribuição de permissões de acesso aos recursos da rede.

Estudo de caso 01: Exemplo de uso de Grupos Universais:

Para este primeiro estudo de caso vamos imaginar a árvore de domínios indicada na Figura 2, onde todos os domínios estão no modo Windows Server 2003, o que implica que é possível a utilização de grupos Universais.

Figura 2. Uso de grupos Universais.

Neste exemplo, existe uma aplicação Web no servidor srv01.abc.com. Esta aplicação exige que o usuário seja autenticado antes de ter acesso a aplicação. Esta exigência é para que possa ser registrado no log do servidor, as ações realizadas por cada usuário. Em cada domínio, apenas alguns usuários, de diferentes seções, deverão ter permissão de acesso a esta aplicação. Qual a solução recomendada para simplificar a administração deste sistema de permissões de acesso?

Solução proposta: Este é um exemplo típico para o uso de uma combinação de Grupos Universais e Grupos Globais. Como os domínios estão no modo Windows Server 2003, é possível a criação de Grupos Universais (o que também seria possível se os domínios estivessem no modo Windows 2000 Nativo). Em cada domínio você cria um grupo Global. É aconselhável que o nome do grupo seja descritivo do seu objetivo. Você adiciona os usuários que devem ter acesso a aplicação Web, como membros do grupo Global do seu respectivo domínio. No domínio abc.com você cria um grupo Universal e, adiciona como membros deste grupo, o grupo global de cada domínio, grupos estes criados anteriormente e aos quais foram adicionados os usuários que devem ter acesso a aplicação Web. No servidor srv01.abc.com você atribui as permissões necessárias ao grupo Universal criado no domínio abc.com (do qual são membros os respectivos grupos globais de cada domínio).

Ao atribuir as permissões necessárias ao grupo universal do domínio abc.com, os grupos globais que são membros deste grupo irão herdar as mesmas permissões, as quais serão herdadas pelos membros do grupo. Observe que o efeito de atribuir a permissão ao grupo universal no domínio abc.com é que esta permissão propaga-se até os usuários em seus respectivos domínios.

Dando nome aos grupos e dividindo a solução em etapas, poderíamos descrever a solução proposta da seguinte maneira:

Criar um grupo global em cada um dos domínios, conforme sugestão a seguir:

Domínio                                               Nome do Grupo Global
abc.com                                              G-Glob-abc-com-AcessoWeb
vendas.abc.com                                  G-Glob-vendas-abc-com-AcessoWeb
euro.vendas.abc.com                          G-Glob-euro-vendas-abc-com-AcessoWeb
asia.vendas.abc.com                           G-Glob-asia-vendas-abc-com-AcessoWeb
prod.abc.com                                      G-Glob-prod-abc-com-AcessoWeb
amer.prod.abc.com                             G-Glob-prod-amer-abc-com-AcessoWeb
eua.prod.abc.com                                G-Glob-prod-eua-abc-com-AcessoWeb

Nota! Estas são apenas sugestões de nomes. Eu procurei utilizar nomes que identificassem que o grupo é do tipo Global, a qual domínio ele pertence e qual a sua finalidade.

Em cada domínio você inclui os usuários que devem ter acesso à aplicação Web, ao grupo global do respectivo domínio, criado no passo anterior.

Crio um grupo Universal no domínio abc.com:

Domínio                                         Nome do Grupo Universal
abc.com                                        G-Univ-abc-com-AcessoWeb

Incluo os grupos globais criados na primeira etapa como membros do grupo Universal:

Membros do grupo G-Univ-abc-com-AcessoWeb:

G-Glob-abc-com-AcessoWeb
G-Glob-vendas-abc-com-AcessoWeb
G-Glob-euro-vendas-abc-com-AcessoWeb
G-Glob-asia-vendas-abc-com-AcessoWeb
G-Glob-prod-abc-com-AcessoWeb
G-Glob-prod-amer-abc-com-AcessoWeb
G-Glob-prod-eua-abc-com-AcessoWeb

Pronto, está implementada a solução para definição das permissões de acesso a aplicação Web no servidor srv01.abc.com. Com esta solução, sempre que um usuário precisar de acesso á aplicação Web, basta incluí-lo no grupo global do seu respectivo domínio. Se o usuário não deve mais ter acesso à aplicação, basta retirá-lo do respectivo grupo global. Observe que a administração das permissões fica bem simplificada. É uma simples questão de incluir ou retirar o usuário de um determinado grupo.

Estudo de caso 02: Analisando o escopo de grupos em relação a membros e permissões de acesso:

Para este estudo de caso vou continuar considerando a árvore de domínios da Figura 1. Vamos colocar algumas questões para análise:

Questão 01: Vamos supor que você crie um grupo Global chamado AcessoFinança, no domínio vendas.abc.com. Considere os itens a seguir:

O grupo AcessoFinança pode ter usuários e grupos de que domínio(os) como membros do grupo?

Como o grupo AcessoFinança é Global e foi criado no domínio vendas.abc.com, ele somente pode conter como membros, usuários e outros grupos globais do próprio domínio vendas.abc.com. Esta é uma das características dos grupos Globais, ou seja, somente podem conter como membros, usuários e outros grupos globais do seu próprio domínio.

Em qual ou quais domínios o grupo AcessoFinança pode receber permissões de acesso?

Um grupo Global pode receber permissões de acesso a recursos em qualquer domínio na árvore de domínios. Normalmente para atribuir permissões a um grupo Global, em outro domínio, basta colocar o grupo Global como membro de um grupo Local do domínio de destino (onde está localizado o recurso) e atribuir permissão para o grupo Local. Este é o procedimento recomendado pela Microsoft. Por exemplo, vamos supor que o grupo global AcessoFinança, do domínio vendas.abc.com, precise de acesso a uma pasta compartilhada em um servidor do domínio prod.abc.com. O processo recomendado pela Microsoft é incluir o grupo global AcessoFinança, do domínio vendas.abc.com, como membro de um grupo local do domínio prod.abc.com e atribuir as permissões necessárias para este grupo local. Com isso o grupo global herda as permissões e todos os usuários do grupo Global també herdam as permissões.

Questão 02: Vamos supor que você crie um grupo Local chamado UsuáriosMemo, no domínio vendas.abc.com. Considere os itens a seguir:

O grupo UsuáriosMemo pode ter usuários e grupos de que domínio(os) como membros do grupo?

Como o grupo UsuáriosMemo é Local, ele pode ter como membros, usuários e grupos do seu próprio domínio e também usuários e grupos de outros domínios. Por exemplo, posso incluir um grupo global do domínio prod.abc.com, como membro de um grupo local do domínio vendas.abc.com.

Em qual ou quais domínios o grupo UsuáriosMemo pode receber permissões de acesso?

Como o grupo é Local ele somente pode receber permissõe de acesso a recursos localizados em servidores do seu próprio domínio, ou seja, a recursos localizados em servidores do domínio vendas.abc.com, onde o grupo UsuáriosMemo foi criado.

Questão 03: Vamos supor que você crie um grupo Universal chamado AcessoWeb, no domínio abc.com. Considere os itens a seguir:

O grupo AcesspWeb pode ter usuários e grupos de que domínio(os) como membros do grupo?

De qualquer domínio, pois ele é um grupo Universal.

Em qual ou quais domínios o grupo Acesso Web pode receber permissões de acesso?

Em qualquer domínio, pois ele é um grupo Universal.Agora é chegado o momento de analisar mais alguns elementos que formam a infra-estrutura que permite o funcionamento do Active Directory. Vou falar um pouco mais sobre Unidades organizacionais. Na seqüência falarei sobre Relações de confiança e florestas.

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)