apres tec. 1ª estrela 40 pág
DESCRIPTION
Microsoft - Profissional 5 estrelasTRANSCRIPT
Helio Panissa JrMCP Brasil.comMicrosoft [email protected]
Profissional 5 estrelasWindows Server 2008 Active Directory, configuration1ª Estrela
Visão geral do AD DS
• O que é um serviço de diretórios?
• O que é o AD DS?
• Como o AD DS funciona?
• Componentes da estrutura lógica do AD DS
• Componentes da estrutura física do AD DS
• Ferramentas de gerenciamento do AD DS
Gerenciamento distribuídoGerenciamento centralizado
O que é um serviço de diretório?
O serviço de diretório é o repositório de informações sobre
objetos da rede e também o serviço que permite que essa
informação seja utilizada.
O que é o AD DS?
• O Active Directory Domain Services oferece:
– Gerenciamento de contas de usuário
– Autenticação de usuários
– Gerenciamento de contas de Computador
– Acesso a recursos de rede
– Serviços de domínio
Componentes do Active Directory
Componentes físicos Componentes lógicos
• Data Store
• Controladores de domínio
• Global Catalog Server
• Read-Only Domain Controller
• Partições
• Schema
• Domínios
• Árvores de domínio
• Florestas
• Sites
• Unidades Organizacionais (Ous)
Estrutura lógica
• O que é o Schema do Active Directory?
• O que é um domínio?
• O que são relacionamentos AD DS?
• O que é uma árvore de domínio?
• O que é uma floresta?
• O que é uma OU?
O que é o schema do Active Directory?
Define cada tipo de objeto que pode ser armazenado no
Active Directory.
Tipo de objeto Função Exemplo
Classe Define quais novos
objetos podem ser
criados no diretório
• Classe usuário
• Classe
computador
Atributo Define quais
informações podem
ser armazenadas
para cada objeto
• Username
• Display Name
• Department
O que é um domínio?
Domínios são componentes lógicos do serviço de diretório
que agrupam e gerenciam objetos do AD.
Um domínio provê:
• Um escopo administrativo, para a aplicação de diretivas e
administração de objetos.
• Um escopo de autenticação e autorização que provê uma
maneira de limitar o acesso a recursos.
• Um escopo de replicação, para replicar dados entre
controladores de domínio.
O que são relacionamentos do AD DS?
Um relacionamento de confiança é um mecanismo que permite que
usuários acessem recursos de outros domínios.
Relacionamento Descrição Diagrama
Direcional O fluxo vai do domínio
confiado para o domínio
confiante
Transitivo O relacionamento de
confiança é estendido
para outros domínios
Trust
O que é uma árvore do AD DS?Uma árvore representa uma hierarquia do serviço de diretório.
Todos os domínio da árvore:
• Possuem um nome contíguo.
• Podem ter domínios filhos.
• Possuem um relacionamento de confiança transitivo bi-direcional.
Exemplo:
mcpbrasil.local
sp.mcpbrasil.local rj.mcpbrasil.local
O que é uma floresta?Uma floresta é um conjunto de uma ou mais árvores.
As florestas:
• Compartilham um schema e partição de configuração comuns
• Compartilham um catálogo global comum
• Compartilham o grupo Enterprise Admins e Schema Admins
Exemplo:
technetlocal
sp.technetlocal rj.techenet.local
mcpbrasil.local
sp.mcpbrasil.local rj.mcpbrasil.local
O que é uma OU?É um objeto container do serviço de diretório que podem conter outros
objetos como usuários ou computadores.
As OUs:
• Facilitam a organização dos objetos no serviço de diretório
• São utilizadas para delegação de permissões
• São utilizadas para a aplicação de diretivas
Estrutura física
• O que são controladores de domínio?
• O que são global catalog servers?
• O que é o AD DS Data Store?
• O que é a replicação do AD?
• O que são sites?
O que são controladores de domínio?
É um computador executando o Windows Server 2008 com o papel AD
DS instalado.
Os controladores de domínio:
• Mantém uma cópia da base de dados do serviço de diretórios
• São responsáveis pela autenticação de usuários
• Replicam atualizações para outros controladores de domínio
• Permitem acesso administrativo a objetos do AD
O que são Global Catalog Servers?
São controladores de domínio que mantém uma cópia do catálogo
global
O catálogo global:
• Contém apenas alguns atributos dos objetos do Active Directory
• Utilizado para aumentar a eficiência de buscas no AD
• Obrigatório para que os usuários possam efetuar logon
O que é o AD DS Data Store?
É o conjunto de arquivos que compõe a base de dados do Active
Directory, armazenando informações de usuários, grupos e recursos.
O AD DS Data Store:
• Fica na pasta %SystemRoot%\NTDS
• Arquivo ntds.dit
• Arquivos de log
O que é a replicação do AD?
Responsável pela cópia de todas as informações entre os
controladores de domínio da floresta
A replicação:
• Assegura a consistência das informações entre todos os
controladores de domínio
• Utiliza um modelo de replicação multi-master
• Pode ser gerenciada utilizando sites do ADmcpbrasil.local
sp.mcpbrasil.local rj.mcpbrasil.local
O que são sites?
Representam a estrutura física do Active Directory
Os sites:
• Permitem o controle do fluxo de replicação
• Minimizam a utilização de banda
• Associados a uma ou mais subnets IP
mcpbrasil.local
sp.mcpbrasil.local rj.mcpbrasil.local
Default-First-SiteName
192.168.1.0
192.168.2.0
192.168.3.0
192.168.4.0
Como funciona o AD DS?
1. Os objetos representando usuários e computadores são
criados no diretório
2. Um cliente usa uma conta de usuário para autenticar-se no
serviço de diretório
3. O usuário acessa recursos de rede
4. Os recursos de rede validam as permissões de acesso
O que é o LDAP?
• O Ligthweight Directory Access Protocol:
– Protocolo de serviços de diretório
– Baseado no TCP/IP
– Utilizado para:
• Acessar
• Modificar
• Buscar
O que é o AD LDS?
• Active Directory Lightweight Directory
Services:
– Serviço baseado em LDAP
– Usado para aplicações
• Características
– Pode executar múltiplas instâncias em único
computador
– Não requer infra-estrutura de DNS
– Pode ser modificado de acordo a aplicação
Exemplos de utilização
• Autenticação Web
• Otimização de segurança de log on para
aplicações
• Armazenamento de configurações de
aplicações
– Exemplo: Edge Server (Microsoft Exchange)
Visão geral do AD CS
• O que é PKI?
• Exemplos de utilização de certificados
digitais
• O que é o AD CS?
• Exemplos de implementação
• Como funciona?
O que é PKI?
Componentes
Uma PKI representa os serviços e componentes
necessários para gerar, gerenciar e distribuir certificados
digitais.
Certificate Authorities (CA)
Certificate Revocation Lists (CRL)
Ferramentas de gerenciamento
Certificados Digitais
Exemplos de utilização de certificados digitais
• Acesso seguro a aplicações (Ex. Home
Banking)
• Identificação de usuários
• Autenticação
O que é o AD CS?
• Active Directory Certificate Services:
– Implementação da Microsoft do CA
• Provê:
– Funcionalidades de Certificate Authority
– Geração manual e automatizada de certificados
digitais
– Revogação de certificados
Como o AD CS Funciona?
Auto-Enrollment:
1. O usuário ou computador são autenticados no AD DS
2. O CA obtém as diretivas de certificado do AD DS
3. Caso existam diretivas e permissões, um certificado é gerado
para o usuário
CA
Como o AD CS Funciona? (Cont)
Manual-Enrollment:
1. O usuário acessa a interface e solicita um certificado
2. O certificado é gerado
3. E instalado no computador cliente
CA
O que é o AD RMS?
• Active Directory Rights Management Server
– Solução para proteger informações armazenadas
em documentos, mensagens de correio
eletrônico e web sites
• Funcionalidades
– Ajuda a proteger informação sensível
– Proteger conteúdo
– Controle de expiração de dados
Exemplos de implementação
• Implementar o AD RMS para:
– Que o gerador da informações crie diretivas de
acesso a informação
– Documentos
– Mensagens de correio eletrônico
O que é o AD FS?
• Permite a criação de relacionamentos de
confiança entre duas organizações
• Provê acesso para aplicações entre
organizações
• Provê SSO (Single Sign-On) entre dois
diretórios diferentes para aplicações
baseadas em web
1. O usuário acessa uma aplicação web em outra organização
2. A aplicação redireciona a autenticação para o servidor AD FS
3. O parceiro de recursos do AD FS responde ao cliente
indicando que ele pode obter um token de segurança no
servidor AD FS no parceiro de contas
4. O cliente solicita o token
5. O cliente acessa a aplicação
Como funciona o AD FS?
Resumo Final
• AD DS
– Infra-estrutura de serviços de diretório
• AD LDS
– Solução de diretório baseada em LDAP
• AD CS
– Infra-estrutura de chaves públicas
• AD RMS
– Gerenciamento de direitos
• AD FS
– Acesso federado a recursos
Para maisinformações…
• Visite (e cadastra-se)TechNet Brasil
– http://www.microsoft.com/brasil/technet/
• Artigos técnicos traduzidos para o português
• Fórum de discussão
• Relacionamento com outros profissionais de TI
• Relacionamento com funcionários Microsoft