Helio Panissa JrMCP Brasil.comMicrosoft MVPhelio.panissa@mcpbrasil.com

Profissional 5 estrelasWindows Server 2008 Active Directory, configuration1ª Estrela

Agenda

• Objetivo

• Visão geral

– AD DS

– AD LDS

– AD CS

– AD RMS

– AD FS

Visão geral do AD DS

• O que é um serviço de diretórios?

• O que é o AD DS?

• Como o AD DS funciona?

• Componentes da estrutura lógica do AD DS

• Componentes da estrutura física do AD DS

• Ferramentas de gerenciamento do AD DS

Gerenciamento distribuídoGerenciamento centralizado

O que é um serviço de diretório?

O serviço de diretório é o repositório de informações sobre

objetos da rede e também o serviço que permite que essa

informação seja utilizada.

O que é o AD DS?

• O Active Directory Domain Services oferece:

– Gerenciamento de contas de usuário

– Autenticação de usuários

– Gerenciamento de contas de Computador

– Acesso a recursos de rede

– Serviços de domínio

Componentes do Active Directory

Componentes físicos Componentes lógicos

• Data Store

• Controladores de domínio

• Global Catalog Server

• Read-Only Domain Controller

• Partições

• Schema

• Domínios

• Árvores de domínio

• Florestas

• Sites

• Unidades Organizacionais (Ous)

Estrutura lógica

• O que é o Schema do Active Directory?

• O que é um domínio?

• O que são relacionamentos AD DS?

• O que é uma árvore de domínio?

• O que é uma floresta?

• O que é uma OU?

O que é o schema do Active Directory?

Define cada tipo de objeto que pode ser armazenado no

Active Directory.

Tipo de objeto Função Exemplo

Classe Define quais novos

objetos podem ser

criados no diretório

• Classe usuário

• Classe

computador

Atributo Define quais

informações podem

ser armazenadas

para cada objeto

• Username

• Display Name

• Department

O que é um domínio?

Domínios são componentes lógicos do serviço de diretório

que agrupam e gerenciam objetos do AD.

Um domínio provê:

• Um escopo administrativo, para a aplicação de diretivas e

administração de objetos.

• Um escopo de autenticação e autorização que provê uma

maneira de limitar o acesso a recursos.

• Um escopo de replicação, para replicar dados entre

controladores de domínio.

O que são relacionamentos do AD DS?

Um relacionamento de confiança é um mecanismo que permite que

usuários acessem recursos de outros domínios.

Relacionamento Descrição Diagrama

Direcional O fluxo vai do domínio

confiado para o domínio

confiante

Transitivo O relacionamento de

confiança é estendido

para outros domínios

Trust

O que é uma árvore do AD DS?Uma árvore representa uma hierarquia do serviço de diretório.

Todos os domínio da árvore:

• Possuem um nome contíguo.

• Podem ter domínios filhos.

• Possuem um relacionamento de confiança transitivo bi-direcional.

Exemplo:

mcpbrasil.local

sp.mcpbrasil.local rj.mcpbrasil.local

O que é uma floresta?Uma floresta é um conjunto de uma ou mais árvores.

As florestas:

• Compartilham um schema e partição de configuração comuns

• Compartilham um catálogo global comum

• Compartilham o grupo Enterprise Admins e Schema Admins

Exemplo:

technetlocal

sp.technetlocal rj.techenet.local

mcpbrasil.local

sp.mcpbrasil.local rj.mcpbrasil.local

O que é uma OU?É um objeto container do serviço de diretório que podem conter outros

objetos como usuários ou computadores.

As OUs:

• Facilitam a organização dos objetos no serviço de diretório

• São utilizadas para delegação de permissões

• São utilizadas para a aplicação de diretivas

Estrutura física

• O que são controladores de domínio?

• O que são global catalog servers?

• O que é o AD DS Data Store?

• O que é a replicação do AD?

• O que são sites?

O que são controladores de domínio?

É um computador executando o Windows Server 2008 com o papel AD

DS instalado.

Os controladores de domínio:

• Mantém uma cópia da base de dados do serviço de diretórios

• São responsáveis pela autenticação de usuários

• Replicam atualizações para outros controladores de domínio

• Permitem acesso administrativo a objetos do AD

O que são Global Catalog Servers?

São controladores de domínio que mantém uma cópia do catálogo

global

O catálogo global:

• Contém apenas alguns atributos dos objetos do Active Directory

• Utilizado para aumentar a eficiência de buscas no AD

• Obrigatório para que os usuários possam efetuar logon

O que é o AD DS Data Store?

É o conjunto de arquivos que compõe a base de dados do Active

Directory, armazenando informações de usuários, grupos e recursos.

O AD DS Data Store:

• Fica na pasta %SystemRoot%\NTDS

• Arquivo ntds.dit

• Arquivos de log

O que é a replicação do AD?

Responsável pela cópia de todas as informações entre os

controladores de domínio da floresta

A replicação:

• Assegura a consistência das informações entre todos os

controladores de domínio

• Utiliza um modelo de replicação multi-master

• Pode ser gerenciada utilizando sites do ADmcpbrasil.local

sp.mcpbrasil.local rj.mcpbrasil.local

O que são sites?

Representam a estrutura física do Active Directory

Os sites:

• Permitem o controle do fluxo de replicação

• Minimizam a utilização de banda

• Associados a uma ou mais subnets IP

mcpbrasil.local

sp.mcpbrasil.local rj.mcpbrasil.local

Default-First-SiteName

192.168.1.0

192.168.2.0

192.168.3.0

192.168.4.0

Como funciona o AD DS?

1. Os objetos representando usuários e computadores são

criados no diretório

2. Um cliente usa uma conta de usuário para autenticar-se no

serviço de diretório

3. O usuário acessa recursos de rede

4. Os recursos de rede validam as permissões de acesso

Visão geral do AD LDS

• O que é o LDAP?

• O que é o AD LDS?

• Exemplos de utilização

O que é o LDAP?

• O Ligthweight Directory Access Protocol:

– Protocolo de serviços de diretório

– Baseado no TCP/IP

– Utilizado para:

• Acessar

• Modificar

• Buscar

O que é o AD LDS?

• Active Directory Lightweight Directory

Services:

– Serviço baseado em LDAP

– Usado para aplicações

• Características

– Pode executar múltiplas instâncias em único

computador

– Não requer infra-estrutura de DNS

– Pode ser modificado de acordo a aplicação

Exemplos de utilização

• Autenticação Web

• Otimização de segurança de log on para

aplicações

• Armazenamento de configurações de

aplicações

– Exemplo: Edge Server (Microsoft Exchange)

Visão geral do AD CS

• O que é PKI?

• Exemplos de utilização de certificados

digitais

• O que é o AD CS?

• Exemplos de implementação

• Como funciona?

O que é PKI?

Componentes

Uma PKI representa os serviços e componentes

necessários para gerar, gerenciar e distribuir certificados

digitais.

Certificate Authorities (CA)

Certificate Revocation Lists (CRL)

Ferramentas de gerenciamento

Certificados Digitais

Exemplos de utilização de certificados digitais

• Acesso seguro a aplicações (Ex. Home

Banking)

• Identificação de usuários

• Autenticação

O que é o AD CS?

• Active Directory Certificate Services:

– Implementação da Microsoft do CA

• Provê:

– Funcionalidades de Certificate Authority

– Geração manual e automatizada de certificados

digitais

– Revogação de certificados

Como o AD CS Funciona?

Auto-Enrollment:

1. O usuário ou computador são autenticados no AD DS

2. O CA obtém as diretivas de certificado do AD DS

3. Caso existam diretivas e permissões, um certificado é gerado

para o usuário

CA

Como o AD CS Funciona? (Cont)

Manual-Enrollment:

1. O usuário acessa a interface e solicita um certificado

2. O certificado é gerado

3. E instalado no computador cliente

CA

Visão geral do AD RMS

• O que é o AD RMS?

• Exemplos de implementação

O que é o AD RMS?

• Active Directory Rights Management Server

– Solução para proteger informações armazenadas

em documentos, mensagens de correio

eletrônico e web sites

• Funcionalidades

– Ajuda a proteger informação sensível

– Proteger conteúdo

– Controle de expiração de dados

Exemplos de implementação

• Implementar o AD RMS para:

– Que o gerador da informações crie diretivas de

acesso a informação

– Documentos

– Mensagens de correio eletrônico

Visão geral do AD FS

• O que é o AD FS?

• Fluxo de dados em um cenário B2B

• Como funciona?

O que é o AD FS?

• Permite a criação de relacionamentos de

confiança entre duas organizações

• Provê acesso para aplicações entre

organizações

• Provê SSO (Single Sign-On) entre dois

diretórios diferentes para aplicações

baseadas em web

Fluxo em um cenário B2B

1. O usuário acessa uma aplicação web em outra organização

2. A aplicação redireciona a autenticação para o servidor AD FS

3. O parceiro de recursos do AD FS responde ao cliente

indicando que ele pode obter um token de segurança no

servidor AD FS no parceiro de contas

4. O cliente solicita o token

5. O cliente acessa a aplicação

Como funciona o AD FS?

Resumo Final

• AD DS

– Infra-estrutura de serviços de diretório

• AD LDS

– Solução de diretório baseada em LDAP

• AD CS

– Infra-estrutura de chaves públicas

• AD RMS

– Gerenciamento de direitos

• AD FS

– Acesso federado a recursos

Screen Cast

Para maisinformações…

• Visite (e cadastra-se)TechNet Brasil

– http://www.microsoft.com/brasil/technet/

• Artigos técnicos traduzidos para o português

• Fórum de discussão

• Relacionamento com outros profissionais de TI

• Relacionamento com funcionários Microsoft