Active DirectoryIntrodução

WorkGroup - Antes do Active Directory

• WORKGROUP O Cadastro de usuários é local em cada estação de trabalho.

O compartilhamento de impressoras e pastas são com usuários da estação origem.

A partir do Windows Vista está bloqueado o compartilhamento sem senha. (Pode ser revertido através de uma chave na politica de segurança.)

É difícil o acesso a recursos da rede, principalmente de outros domínios.

É difícil a centralização dos controles das estações de trabalho como, instalar programas, configurar impressoras, bloquear recurso das as estações de trabalho, limpeza de vírus de forma centralizada.

Existem programas que podem centralizar as tarefas das estações de trabalho fora de um controle centralizado como o “Active Directory”, ex: a console de alguns antivírus, deepfreeze, samba, etc.

Active Directory - Origens

• Criado baseado nos sistemas:O domínio do Windows NT Server– Centralizava o controle de

usuários, grupos e compartilhamento de pastas e impressoras em estações de trabalho Windows NT.

LDAP – É um banco de dados que utiliza a logica de arvore, onde é possível armazenado diversos tipos de objetos (lembrando que objetos é um conjunto de atributos/variáveis e métodos/funções), onde é mais rápida a leitura e mais lenta a escrita.

Um processo de armazenamento de pastas distribuída chamado DFS (Distributed File System), para realizar a replicação e a distribuição dos diversos componentes do Active Directory.

Active Directory - LDAP

• LDAP – Entre as diversas ferramentas disponíveis no LDAP que foram aproveitadas no Active Directory, podemos destacar:Esquema: onde fica armazenado os esqueleto dos objetos, também

conhecidos como classes de objetos.Objetos: conforme já explicados são o conjunto de

atributos/variáveis e métodos /funções. Estes objetos possuem seus detalhes de criação (instância) detalhado no esquema.

Container ou Unidade Organizacional: é uma pasta (também pode ser entendido como uma caixa) onde são armazenados os objetos.

Active Directory – Componentes Básicos

• Domínio: Limite administrativo e de segurança em que são gerenciados os recursos de rede (usuários, grupos, computadores, impressoras, scanners, etc.) Ex: tjpi.jus.br e tjpi.local.

• Arvore: é um conjunto administrativo de domínios que possuem uma determinada relação de confiança e segurança em comum.

• Floresta: é um conjunto de arvores.

• Relação de confiança: é o modo como os recursos específicos de um domínio são utilizados por outros domínio. Podem ser direcionais e transitivas.

• Unidade Organizacional (OU): é a pasta ou container ou caixa de um determinado domínio onde são armazenado os objetos.

Active Directory – Componentes Básicos

• Sites: São grupos de domínios ou arvores que possuem uma velocidade de dados de rede comum, separando sistemas de baixa velocidade dos sistemas de alta velocidade. A justificativa para a separação é o fato do AD possuir a necessidade de replicação automática de base de dados e como estes dados são sensíveis, para não haver corrupção, as redes são separadas pela velocidade. O AD usa o protocolo SMTP para conexão entre as redes mais lentas.

• Controlador de Domínio: é uma máquina física ou virtual que foi instalado o sistema operacional Windows Server (2008 ou 2012 no caso do TJPI) que possui a função de armazenar o banco de dados do Active Directory

Active Directory – Componentes Básicos

• Catalogo Global: é um resumo do banco de dados do Active Directory que pode ser visível através de um ou mais controladores de domínio. Seu objetivo é agilizar funções de autenticação de alguns programas e principalmente o logon nas estações de trabalho.

• Grupos: é um objeto específico do AD que controla um determinado recurso compartilhado (impressora, pasta) atribuindo níveis específicos de segurança a determinados conjuntos de usuários. Os grupos podem ser do tipo segurança (uso comum) ou distribuição (apenas para o E-mail Server Exchange). Possuem o escopo local (apenas na máquina específica), domínio (apenas no domínio específico), Global (Em domínios da mesma arvore) e Universal (toda arvore).

Active Directory – Figura básica

Usuários

• Usuário também é um objeto, ou seja possui atributos e funções dentro do AD. O objetivo do objeto usuário é identificar uma pessoa física dentro de uma organização, ex: alexandre.camilo; ou um serviço específico dentro de algum servidor, ex: admsharepoint – usuário utilizado pelo serviço sharepoint.

• O Usuário não possui em si mesmo nenhuma permissão para fazer nada, quando ele é criado o Windows atribui automaticamente o usuário aos grupos: usuários, usuários do domínio ou administradores;

GRUPOS

• Grupos: é um objeto que tem por objetivo controlar um determinado recurso compartilhado (ex: impressora, pasta) ao qual pode ser atribuindo níveis específicos de segurança e oferecido a determinados conjuntos de usuários. No AD, os grupos podem ser do tipo segurança (uso comum) ou distribuição (apenas para o E-mail Server Exchange). Possuem o escopo local (apenas na máquina específica), domínio (apenas no domínio específico), Global (Em domínios da mesma arvore) e Universal (toda arvore).

• Ao criar um grupo, ele não possui nenhum nível de segurança definido, NOS DEVEMOS DEFINIR MANUALMENTE A DEFINIÇÃO DE SEGURANÇA DE CADA GRUPO.

GRUPOS LOCAIS

• O Windows disponibiliza alguns grupos padrões que podem ser utilizados. Não é aconselhável alterar a configuração destes grupos, pois são utilizados em funções essenciais do WINDOWS.

• ADMINISTRADORES – todos os usuários que serão administradores local. ATENÇÂO: NO WINDOWS VISTA, 7 E 8 OS USUÁRIOS DESTE GRUPO NÃO POSSUEM ACESSO A TUDO, MAS POSSUEM A PERMISSÃO DE SOLICITAR ESTE ACESSO.

• CONVIDADO - grupo que não possui acesso a nada, existe apenas para compatibilidade com Windows 95/98. Não deve ser excluído de forma nenhuma.

GRUPOS LOCAIS

• Usuários – Grupo principal, atribuído a todos os usuários no momento da criação, atribui permissões principais nas áreas comuns, possui diversas diferenças em Windows XP, Vista, 7 e 8.

• Usuários Avançados – O usuário deste grupo possui acesso a alguns recursos extras, usado apenas para manter compatibilidade com versões 2003 e XP do Windows, não deve ser usado em Windows Vista, 7 e 8.

• Usuários da área de trabalho remota – Lista quem pode acessar remotamente via “Remote Desktop” o Windows, o usuário só acessará a área permitida. Ex: o usuário que faz parte do grupo usuários, acessará apenas as pastas do seu perfil.

EXEMPLOS DE GRUPOS DE WINDOWS 7

GRUPOS LOCAIS - Limites

• Os grupos locais atribuem permissões exclusivas para acesso ao computador local, não conseguem atribuir permissão a outro computador.

• Se um usuário local (criado no computador 1) fizer parte do grupo administradores do computador 1, ele não terá permissão de acessar nada do computador 2.

• No Windows existe um recurso de Workgroup que se o mesmo usuário for criado em dois computadores diferente com as mesmas permissões, um acessa o recurso do outros, mas parece que este recurso esta sendo descontinuado pela Microsoft no Windows 7 e 8, pois nem sempre funciona.

GRUPOS SEGURANÇA

PERMISSÕES NTFS x COMPARTILHAMENTO

Área para inserir o grupo ou usuário

Área para definir as permissões

Layout de Título e Conteúdo com Gráfico

Categoria 1 Categoria 2 Categoria 3 Categoria 40

1

2

3

4

5

6

Série 1 Série 2 Série 3

Layout de Conteúdo de Duas Partes com Tabela

• Primeiro marcador aqui

• Segundo marcador aqui

• Terceiro marcador aqui

Grupo A Grupo B

Classe 1 82 95

Classe 2 76 88

Classe 3 84 90

Layout de Título e Conteúdo com SmartArt

Título da Etapa 1 Título da Etapa 2 Título da Etapa 3 Título da Etapa 4

Clique no ícone para adicionar uma imagem

Clique no ícone para adicionar uma imagemClique no ícone para adicionar uma imagem