Fundamentos em: Relações de confiança e florestas
Pré-Requisitos: Conhecer os conceitos de diretório, domínio, usuários e grupos.
Metodologia: Apresentar o conceito de Relações de confiança entre domínios.
É através do uso de relações de confiança entre domínios, que é possível que um usuário de um domínio possa fazer o logon com sua conta de usuário e senha, mesmo utilizando um computador de um outro domínio. Por exemplo, o usuário jsilva está cadastrado no domínio A e viaja para a filial da empresa, a qual pertence ao domínio B. O usuário jsilva está utilizando um computador que faz parte do domínio B. Durante o processo de logon ele informa o seu nome de usuário, senha e seleciona o domínio no qual ele quer fazer o logon (no exemplo o domínio A) e consegue fazer o logon normalmente.
Como foi possível ao domínio B (mais especificamente a um DC do domínio B), verificar as credenciais do usuário (logon e senha) e permitir o logon? Isso foi possível graças ao mecanismo de relações de confiança existente no Windows Server 2003, o qual é muito semelhante ao que existe no Windows 2000 Server, porém completamente diferente do que acontecia no Windows NT Server 4.0. Neste item apresentarei em mais detalhes, o mecanismo de relações de confiança entre domínios no Windows Server 2003.
E como são as relações de confiança no Windows Server 2003?
No Windows Server 2003 as relações de confiança são criadas automaticamente entre os domínios de uma árvore de domínios. As relações são bi-direcionais, ou seja, se o Dom A confia no Dom A, isso significa que o Dom B também confia no Dom A. As relações de confiança são transitivas, ou seja se o Dom A confia no Dom B, o qual confia no Dom C, então o dom A também confia no Dom C e vice-versa. A Figura 1 ilustra as relações de confiança no Windows Server 2003.
 |
| Figura 1 Relações de confiança bi-direcionais e transitivas do Windows Server 2003. |
Outros tipos de relações de confiança:
As relações de confiança criadas automaticamente, entre os domínios de uma árvore no Windows Server 2003, apresentam as características descritas anteriormente: Automaticamente criadas, bi-direcionais e transitivas.
Porém existem situações em que pode ser necessária a criação de outros tipos de relações de confiança. Por exemplo, pode ser necessária a criação de uma relação de confiança entre um dos domínios da sua rede, com um domínio baseado no Windows NT Server da rede de um fornecedor ou parceiro de negócio. Ou pode ser necessária a criação de uma relação de confiança entre um domínio da sua rede (baseado no Windows Server 2003) com um domínio da rede de outra empresa, também baseado no Windows Server 2003. Neste caso você teria que criar uma relação de confiança com um domínio em outra árvore de domínios. A seguir vou analisar e exemplificar os tipos de relações de confiança que existem.
Tipos padrão de relações de confiança:
Existem dois tipos padrão de relação de confiança, conforme descrito a seguir:
- Transitiva bi-direcional entre um Domínio pai e um Domínio filho: Quando o Administrador cria um domínio filho (conforme mostrarei no Capítulo 8), uma relação de confiança bi-direcional e transitiva é criada, automaticamente, pelo assistente de instalação do Active Directory. Por exemplo, se você tem um domínio root chamado abc.com e cria um domínio filho chamado vendas.abc.com, o assistente de instalação do Active Directory, automaticamente cria durante a criação do domínio vendas.abc.com, uma relação de confiança bi-direcional e transitiva entre os dominios abc.com e vendas.abc.com.
- Transitiva bi-direcional entre uma árvore de domínios e o domínio root de uma floresta: Você pode juntar várias árvores de domínios para formar um floresta. Este tipo de relação de confiança é automaticamente criado, quando você cria um novo domínio em uma floresta já existente. A relação é estabelecida.
Outros tipos de relações de confiança:
Existem outros tipos padrão de relação de confiança, conforme descrito a seguir:
Externa, não transitiva, unidirecional ou bi-direcional: Este tipo de relacionamento é criado com um domínio externo, baseado no Windows NT Server 4.0 ou com um domínio baseado no Windows Server 2003 ou Windows 2000 Server, localizado em outra floresta. Se o domínio for baseado no NT Server 4.0 a relação será unidirecional, caso contrário será bi-direcional.
O exemplo da Figura 2 ilustra bem as situações onde pode ser criada uma relação de confiança deste tipo:
 |
| Figura 2. Relações de confiança externas – unidirecional ou bi-direcional. |
Transitiva ou não transitiva, unidirecional ou bi-direcional: Este tipo de relação é criado entre um domínio baseado no Windows Server 2003 e outros domínios, também baseados no protocolo Kerberos, como por exemplo o UNIX. O protocolo Kerberos é um padrão de fato que fornece, dentre outros, serviços de autenticação em um domínio do Windows 2000 Server ou Windows Server 2003. Outros sistemas operacionais também utilizam o Kerberos. Este tipo de relacionamento poderia ser utilizado, por exemplo, para que as contas de um domínio baseado no UNIX, pudessem receber permissões de acesso em recursos de um domínio baseado no Windows Server 2003.
Entre florestas, transitiva, unidirecional ou bi-direcional: Este tipo de relacionamento é criado entre os domínios root de duas florestas. Pode ser do tipo unidirecional ou bi-direcional Se for do tipo bi-direcional, os usuários de uma floresta podem acessar recursos nos domínios da outra floresta e vice-versa. Um exemplo prático de uso deste tipo de relação de confiança seria quando é feita a fusãod e duas empresas e você precisa permitir que os usuários de uma empresa possam acessar recursos nos servidores da rede da outra empresa e vice-versa.
Shortcut, transitiva, unidirecional ou bi-direcional: Este tipo de relação de confiança é utilizado para melhorar o tempo de logon entre dois domínios, em uma floresta. Considere o exemplo da Figura 3:
 |
| Figura 3. Relações de confiança do tipo Shortcut (atalho). |
Neste exemplo foram criadas três relações de confiança do tipo Shortcuot:
Entre os domínios B e D.
Entre os domínios A e 1.
Entre os domínios D e 2.
O principal objetivo deste tipo de relação de confiança é otimizar os tempos de logon. No exemplo da Figura 3, vou analisar o que acontece quando um usuário do Dom B precisa acessar um recurso no Dom D. O primeiro passo é autenticar o usuário. Se não houver a relação do tipo Shortcut entre B e D, o Windows Server 2003 precisa percorrer o caminho de relações de confiança na árvore (De B para A e da A para D), para poder autenticar o usuáro do domínio D. Já com a relação do tipo shortcut entre B e D, existe um caminho direto entre estes dois domínios, o que diminui o tempo de logon/autenticação. Quanto mais afastados (quanto maior o caminho e o número de relações de confiança a ser percorrido), mais será reduzido o tempo de logon entre os domínios, se o Administrador criar uma relação de confiança do tipo Shortcut.
Importante: Só faz sentido criar este tipo de relação de confiança, se for comum usuários de um domínio acessarem recursos do outro domínio e se o tempo de logon estiver apresentando tempos muito elevados.
Nenhum comentário:
Postar um comentário