aula 01-introducao ao active directory

Introduo infra-estrutura do Active Directoryndice Viso geral Lio: A arquitetura do Active Directory Lio: Como o Active Directory funciona Lio: Examinando o Active Directory Lio: Os processos de design, planejamento e implementao do Active Directory 1 2 10 20

30

Mdulo 1: Introduo infra-estrutura do Active Directory

1

Viso geral

*****************PARA USO EXCLUSIVO DOS MICROSOFT CERTIFIED TRAINERS***************** Introduo Este mdulo apresenta a estrutura fsica e lgica do servio de diretrio do Active Directory e sua funo como servio de diretrio. O mdulo tambm apresenta os snap-ins, as ferramentas de linhas de comando e o Host de scripts do Windows, que pode ser usado para gerenciar os componentes dos processos de design, planejamento e implementao do Active Directory. Depois de concluir este mdulo, voc ser capaz de:! ! !

Objetivos

Descrever a arquitetura do Active Directory. Descrever como o Active Directory funciona. Usar os snap-ins administrativos do MMC para examinar os componentes do Active Directory. Descrever os processos de design, planejamento e implementao do Active Directory.

!

2


Lio: A arquitetura do Active Directory

*****************PARA USO EXCLUSIVO DOS MICROSOFT CERTIFIED TRAINERS***************** Introduo O Active Directory consiste em componentes que constituem sua estrutura fsica e lgica. necessrio planejar as estruturas fsica e lgica do Active Directory para atender s necessidades de sua organizao. Para gerenciar o Active Directory, necessrio compreender o propsito desses componentes e como us-los. Depois de concluir esta lio, voc ser capaz de:! ! ! !

Objetivos da lio

Descrever a funo do Active Directory. Descrever a estrutura lgica do Active Directory. Descrever a estrutura fsica do Active Directory. Descrever as funes de mestres de operaes.


3

Qual a funo do Active Directory?

*****************PARA USO EXCLUSIVO DOS MICROSOFT CERTIFIED TRAINERS***************** Introduo O Active Directory armazena informaes sobre usurios, computadores e recursos de rede, tornando os recursos acessveis a usurios e aplicativos. Ele fornece uma forma consistente de nomear, descrever, localizar, acessar, gerenciar e garantir a segurana de informaes sobre os recursos. O Active Directory possui as seguintes funes:!

Funo do Active Directory

Centraliza o controle de recursos de rede. Com a centralizao do controle de recursos como servidores, arquivos compartilhados e impressoras, apenas usurios autorizados podem acessar os recursos no Active Directory. Centraliza e descentraliza o gerenciamento de recursos. Os administradores podem gerenciar os computadores de clientes distribudos, servios de rede e aplicativos a partir de um local central usando uma interface de gerenciamento consistente. Tambm podem distribuir tarefas administrativas, delegando o controle de recursos a outros administradores. Armazena objetos de modo seguro em uma estrutura lgica. O Active Directory armazena todos os recursos como objetos em uma estrutura lgica, hierrquica e segura. Otimiza o trfego de rede. A estrutura fsica do Active Directory permite usar a largura de banda da rede de modo mais eficiente. Por exemplo, ela garante que os usurios, ao fazerem logon, sejam autenticados pela autoridade mais prxima, o que reduz o trfego de rede.

!

!

!

4


Multimdia: A estrutura lgica do Active Directory

*****************PARA USO EXCLUSIVO DOS MICROSOFT CERTIFIED TRAINERS***************** Local do arquivo Para exibir a apresentao A estrutura lgica do Active Directory, abra a pgina da Web no CD do Material do aluno, clique em Multimdia e, em seguida, clique no ttulo da apresentao. No abra essa apresentao, a menos que voc receba alguma orientao do instrutor. No final desta apresentao, voc ser capaz de:! !

Objetivos

Definir os elementos da estrutura lgica do Active Directory. Discutir o propsito desses elementos.

Pontos-chave

O Active Directory fornece armazenamento seguro de informaes sobre objetos em uma estrutura lgica hierrquica. Os objetos do Active Directory representam usurios e recursos, como computadores e impressoras. Alguns objetos contm outros objetos. Compreendendo o propsito e a funo desses objetos, voc pode concluir vrias tarefas, inclusive a instalao, a configurao, o gerenciamento e a soluo de problemas no Active Directory. A estrutura lgica do Active Directory inclui os seguintes componentes:!

Objetos. So os componentes mais bsicos da estrutura lgica. As classes de objetos so modelos ou plantas dos objetos que podem ser criados no Active Directory. Cada classe de objetos definida por um grupo de atributos que definem os possveis valores a serem associados a um objeto. Cada objeto possui uma combinao exclusiva de valores de atributos. Unidade organizacional. Voc pode usar esses objetos recipientes para organizar outros objetos de acordo com seus propsitos administrativos. A organizao dos objetos por unidade organizacional facilita a localizao e o gerenciamento dos mesmos. Voc tambm pode delegar a autoridade de gerenciar uma unidade organizacional. As unidades organizacionais podem ser aninhadas em outras unidades organizacionais, o que simplifica ainda mais o gerenciamento de objetos.

!

Mdulo 1: Introduo infra-estrutura do Active Directory!

5

Domnio. Os domnios, principais unidades funcionais da estrutura lgica do Active Directory, so um conjunto de objetos definidos de forma administrativa que compartilham um banco de dados de diretrios comum, diretivas de segurana e relaes de confiana com outros domnios. Os domnios tm estas trs funes: Fornecer um limite administrativo para objetos Permitir um gerenciamento seguro para recursos compartilhados Proporcionar uma unidade de replicao para objetos rvore de domnios. Os domnios agrupados em estruturas hierrquicas so chamados rvores de domnios. Quando voc acrescenta um segundo domnio a uma rvore, ele se torna filho do domnio raiz da rvore. O domnio ao qual um domnio filho est anexado chamado domnio pai. Um domnio filho pode, por sua vez, ter seu prprio domnio filho. O nome de um domnio filho combinado com o nome de domnio pai para formar um nome DNS (Domain Name System, sistema de nomes de domnio) exclusivo, como corp.nwtraders.msft. Assim, uma rvore tem um espao para nome contguo.

!

!

Floresta. Uma floresta uma instncia completa do Active Directory, que consiste em uma ou mais rvores. Em uma rvore simples com dois nveis, recomendvel para a maior parte das organizaes, todos os domnios filho so filhos do domnio raiz da floresta e formam uma rvore contnua. O primeiro domnio da floresta chamado domnio raiz da floresta. O nome desse domnio faz referncia floresta, como, por exemplo, nwtraders.msft. Por padro, as informaes do Active Directory so compartilhadas apenas dentro da floresta. Assim, a floresta um limite de segurana para informaes contidas na instncia do Active Directory.

6


Multimdia: A estrutura fsica do Active Directory

*****************PARA USO EXCLUSIVO DOS MICROSOFT CERTIFIED TRAINERS***************** Local do arquivo Para exibir a apresentao A estrutura fsica do Active Directory, abra a pgina da Web no CD do Material do aluno, clique em Multimdia e, em seguida, clique no ttulo da apresentao. No abra a apresentao at que o instrutor solicite. No final desta apresentao, voc ser capaz de:! !

Objetivos

Definir os elementos da estrutura fsica do Active Directory. Discutir o propsito desses elementos.

Pontos-chave

Ao contrrio da estrutura lgica, que define os requisitos administrativos, a estrutura fsica do Active Directory otimiza o trfego de rede determinando quando e onde a replicao e o trfego de logon devem ocorrer. Para otimizar o uso que o Active Directory faz da largura de banda da rede, voc deve compreender a estrutura fsica. Os elementos da estrutura fsica do Active Directory so:!

Controladores de domnio. Estes computadores executam o Microsoft Windows Server 2003 ou o Microsoft Windows 2000 Server e o Active Directory. Cada controlador de domnio desempenha funes de armazenamento e replicao. Cada controlador de domnio d suporte a apenas um domnio. Para garantir a disponibilidade contnua do Active Directory, cada domnio deve ter mais de um controlador de domnio.


7

Sites do Active Directory. Estes sites consistem em grupos de computadores bem-conectados. Quando voc estabelece sites, os controladores de domnio de um nico site estabelecem comunicao constante. Essa comunicao minimiza a latncia no site, isto , o tempo necessrio para que uma alterao feita em um controlador de domnio seja replicada para outros controladores de domnio. Voc pode criar sites para otimizar o uso da largura de banda entre controladores de domnio em locais diferentes. Observao Para obter mais informaes sobre sites do Active Directory, consulte o mdulo 7, Implementando sites para gerenciar a replicao do Active Directory, no curso 2197A, Planejando, implementando e fazendo a manuteno de uma infra-estrutura do Active Directory do Microsoft Windows Server 2003.

!

Parties do Active Directory. Cada controlador de domnio contm as seguintes parties do Active Directory: A partio do domnio contm rplicas de todos os objetos no domnio. A partio do domnio replicada apenas para os controladores de domnio no mesmo domnio. A partio de configurao contm a topologia da floresta. A topologia um registro de todos os controladores de domnio e das conexes entre eles em uma floresta. A partio do esquema contm o esquema de toda a floresta. Cada floresta possui um esquema para que a definio de cada objeto da classe seja consistente. As parties do esquema e de configurao so replicadas em cada controlador de domnio na floresta. As parties de aplicativos opcionais contm objetos no relacionados segurana, usados por um ou mais aplicativos. As parties de aplicativos so replicadas para controladores de domnio especficos na floresta. Observao Para obter mais informaes sobre parties do Active Directory, consulte o mdulo 7, Implementando sites para gerenciar a replicao do Active Directory, no curso 2197A, Planejando, implementando e fazendo a manuteno de uma infra-estrutura do Active Directory do Microsoft Windows Server 2003.

8


O que so mestres de operaes?

*****************PARA USO EXCLUSIVO DOS MICROSOFT CERTIFIED TRAINERS***************** Introduo Quando uma alterao feita em um domnio, ela replicada para todos os controladores de domnio desse domnio. Algumas alteraes, como as feitas ao esquema, so replicadas para todos os domnios na floresta. Essa replicao chama-se replicao de mestres mltiplos. Durante a replicao de mestres mltiplos, poder ocorrer um conflito de replicao se atualizaes de origem forem realizadas simultaneamente no mesmo atributo de objeto em dois controladores de domnio. Para evitar conflitos de replicao, use a replicao de mestre nico, que designa um controlador de domnio como o nico controlador de domnio em que determinadas alteraes de diretrio podem ser feitas. Assim, as alteraes no podero ocorrer em diferentes locais da rede ao mesmo tempo. O Active Directory usa a replicao de mestre nico para fazer alteraes importantes, como um acrscimo de um novo domnio ou uma alterao no esquema de toda a floresta. As operaes que usam a replicao de mestre nico so agrupadas com funes especficas em uma floresta ou em um domnio. Essas funes so chamadas funes de mestre de operaes. Para cada funo de mestre de operaes, apenas o controlador de domnio com essa funo pode fazer alteraes no diretrio associado. O controlador de domnio responsvel por uma determinada funo chamado mestre de operaes dessa funo. O Active Directory armazena informaes sobre a funo especfica de cada controlador de domnio.

Operaes de mestre nico

Funes do mestre de operaes


9

O Active Directory define cinco funes de mestre de operaes, cada uma das quais possui um local padro. As funes de mestre de operaes so relativas a toda a floresta ou a todo o domnio.!

Funes de toda a floresta. Exclusivas de uma floresta, as funes de toda a floresta so: Mestre de esquema. Controla todas as atualizaes do esquema. O esquema contm a lista mestre de classes e atributos de objetos usados para criar todos os objetos do Active Directory, como usurios, computadores e impressoras. Mestre de nomeao do domnio. Controla o acrscimo ou a remoo de domnios na floresta. Quando voc adiciona um novo domnio floresta, apenas o controlador de domnio que tem a funo de mestre de nomeao de domnio capaz de adicion-lo. H apenas um mestre de esquema e um mestre de nomeao do domnio em toda a floresta.

!

Funes de todo o domnio. Exclusivas de cada domnio em uma floresta, as funes de todo o domnio so: Emulador de PDC. Funciona como um PDC (Primary Domain Controller, controlador de domnio primrio) do Microsoft Windows NT para dar suporte a todos os controladores de domnio de backup que executem o Windows NT em um domnio de modo misto. Esse tipo de domnio possui controladores de domnio que executam o Windows NT 4.0. O emulador de PDC o primeiro controlador de domnio criado em um novo domnio. Mestre de RID. Quando um novo objeto criado, o controlador de domnio cria um novo objeto de segurana que representa o objeto e atribui a ele um SID (Unique Security Identifier, identificador de segurana exclusivo). Esse SID consiste em um SID de domnio, que o mesmo para todos os objetos de segurana criados no domnio, e em um RID (Relative Identifier, identificador relativo), que exclusivo de cada objeto de segurana criado no domnio. O mestre de RID aloca blocos de RIDs para cada controlador no domnio. Em seguida, o controlador do domnio atribui um RID a objetos criados a partir dos blocos de RIDs alocados. Mestre de infra-estrutura. Quando um objeto movido de um domnio para outro, o mestre de infra-estrutura atualiza no domnio as referncias a objetos que apontam para o objeto em outro domnio. A referncia a objetos contm o identificador global exclusivo (GUID, globally unique identifier), o nome distinto e um SID. O Active Directory atualiza o nome distinto e o SID periodicamente na referncia do objeto para refletir as alteraes feitas ao objeto real, como as movimentaes dentro do domnio e entre domnios, alm da excluso do objeto. Cada domnio de uma floresta possui seu prprio emulador PDC, mestre de RID e mestre de infra-estrutura.

Observao Para obter mais informaes sobre as funes de mestre de operaes, consulte o mdulo 9, Gerenciando mestres de operaes, no curso 2197A, Planejando, implementando e fazendo a manuteno de uma infra-estrutura do Active Directory do Microsoft Windows Server 2003.

10


Lio: Como o Active Directory funciona

*****************PARA USO EXCLUSIVO DOS MICROSOFT CERTIFIED TRAINERS***************** Introduo Esta lio apresenta a funo do Active Directory como um servio de diretrio. Compreender o funcionamento do Active Directory ajuda a gerenciar recursos e a solucionar problemas relacionados ao acesso a recursos. Depois de concluir esta lio, voc ser capaz de:! !

Objetivos da lio

Descrever a funo do Active Directory como um servio de diretrio. Definir o objetivo do esquema do Active Directory e o modo como ele usado. Definir o objetivo do catlogo global. Determinar o nome distinto e o nome distinto relativo de um objeto do Active Directory. Descrever como o Active Directory habilita um SSO (incio de sesso universal, single sign-on).

! !

!


11

O que um servio de diretrio?

*****************PARA USO EXCLUSIVO DOS MICROSOFT CERTIFIED TRAINERS***************** Introduo Os recursos de redes de grande porte so compartilhados por vrios usurios e aplicativos. Para permitir que usurios e aplicativos acessem os recursos e as informaes sobre eles, voc precisa de um modo consistente de nomear, descrever, localizar, acessar, gerenciar e proteger informaes sobre esses recursos. Um servio de diretrio desempenha essa funo. Um servio de diretrio um repositrio estruturado de informaes sobre pessoas e recursos de uma organizao. Em uma rede do Windows Server 2003, o servio de diretrio o Active Directory. O Active Directory possui os seguintes recursos:!

O que um servio de diretrio? Recursos do Active Directory

Habilita usurios e aplicativos a acessarem informaes sobre objetos. Essas informaes ficam armazenadas na forma de valores de atributos. Voc pesquisa objetos com base na classe, nos atributos, nos valores de atributos, em sua localizao na estrutura do Active Directory ou em qualquer combinao desses valores. Torna transparente a topologia fsica da rede e os protocolos. Assim, um usurio em uma rede pode acessar qualquer recurso, como uma impressora, sem saber sua localizao ou o modo como esse recurso est fisicamente conectado rede.

!

12


Permite o armazenamento de um grande nmero de objetos. Como organizado em parties, o Active Directory pode ser expandido medida que uma organizao cresce. Por exemplo, um diretrio pode ser expandido a partir de um nico servidor com algumas centenas de objetos para milhares de servidores e milhes de objetos. Pode ser executado como um servio que no do sistema operacional. O AD/AM (Active Directory in Application Mode, Active Directory em modo de aplicativo) um novo recurso do Active Directory que se refere a determinados cenrios de implantao relacionados a aplicativos habilitados por diretrio. O AD/AM executado como um servio que no do sistema operacional e, como tal, no requer implantao em um controlador de domnio. Como esse recurso executado como um servio que no do sistema operacional, vrias instncias do AD/AM podem ocorrer simultaneamente em um nico servidor, sendo que cada instncia pode ser configurada de modo independente.

!

Observao Para obter mais informaes sobre o AD/AM, consulte Introduction to Active Directory in Application Mode em http://www.microsoft.com/windowsserver2003/techinfo/overview/adam.mspx (site em ingls).


13

O que um esquema?

*****************PARA USO EXCLUSIVO DOS MICROSOFT CERTIFIED TRAINERS***************** Introduo O esquema do Active Directory define os tipos de objetos, os tipos de informaes sobre eles e a configurao de segurana padro que podem ser armazenados no Active Directory. O esquema do Active Directory contm as definies de todos os objetos, como usurios, computadores e impressoras armazenados no Active Directory. Nos controladores de domnio que executam o Windows Server 2003, h apenas um esquema para toda a floresta. Assim, todos os objetos criados no Active Directory seguem as mesmas regras. O esquema possui dois tipos de definies: classes e atributos de objetos. As classes de objetos, como usurio, computador e impressora, descrevem os possveis objetos de diretrio que voc pode criar. Cada classe de objeto consiste em um conjunto de atributos. Os atributos so definidos separadamente a partir de classes de objetos. Cada atributo definido apenas uma vez e pode ser usado em vrias classes de objetos. Por exemplo, o atributo Descrio usado em vrias classes de objetos, mas definido apenas uma vez no esquema para garantir a consistncia. Esquema e nvel de expanso do Active Directory Voc pode expandir o esquema para criar novos tipos de objetos no Active Directory. Por exemplo, no caso de um aplicativo de servidor de email, voc pode expandir a classe de usurio no Active Directory com novos atributos que armazenem informaes adicionais, como endereos de email dos usurios. Observao Para obter mais informaes sobre como expandir o esquema do Active Directory, consulte Extending the Schema (MSDN Library online).

O que o esquema do Active Directory?

14


Alteraes e desativao do esquema

Nos controladores de domnio do Windows Server 2003, voc pode reverter as alteraes no esquema desativando-as, o que permite que as organizaes explorem melhor os recursos de expanso do Active Directory. Tambm pode redefinir uma classe ou um atributo de esquema. Por exemplo, possvel alterar a sintaxe da seqncia de caracteres unicode de um atributo chamado SalesManager para Distinguished Name.


15

O que o catlogo global?

*****************PARA USO EXCLUSIVO DOS MICROSOFT CERTIFIED TRAINERS***************** Introduo Os recursos no Active Directory podem ser compartilhados por domnios e florestas. O recurso catlogo global do Active Directory torna transparente para o usurio a procura de recursos em domnios e florestas. Por exemplo, se voc procurar todas as impressoras em uma floresta, um servidor de catlogo global processar a consulta no catlogo global e retornar os resultados. Sem um servidor de catlogo global, seria necessrio procurar em cada domnio na floresta. O catlogo global um repositrio de informaes que contm um subconjunto de atributos de todos os objetos do Active Directory. Os membros do grupo Administradores de esquemas podem alterar os atributos armazenados no catlogo global, dependendo das necessidades da organizao. O catlogo global contm:!

O que o catlogo global?

Os atributos usados com mais freqncia nas consultas, como o nome, o sobrenome e o nome de logon do usurio. As informaes necessrias para determinar a localizao de qualquer objeto no diretrio. O subconjunto padro de atributos de cada tipo de objeto. As permisses de acesso referentes a cada objeto e atributo armazenado no catlogo global. Se voc procurar um objeto para o qual no possua as permisses de exibio apropriadas, o objeto no aparecer nos resultados da pesquisa. As permisses de acesso garantem que os usurios encontrem apenas os objetos para os quais tenham recebido permisso de acesso.

!

! !

O que um servidor de catlogo global?

O servidor de catlogo global um controlador de domnio que realiza consultas dentro da floresta de modo eficiente no catlogo global. O primeiro controlador de domnio criado por voc no Active Directory ser automaticamente o servidor de catlogo global. Voc pode configurar servidores de catlogo global para equilibrar o trfego de autenticao de logon e consultas.

16


Funes do catlogo global

O catlogo global permite aos usurios desempenhar duas funes importantes:!

Localizar informaes do Active Directory em qualquer lugar da floresta, independentemente da localizao dos dados. Usar informaes de membros de grupos universais para fazer logon na rede.

!

Observao Para obter mais informaes sobre o catlogo global, consulte o mdulo 8, Implementando o posicionamento de controladores de domnio, no curso 2197A, Planejando, implementando e fazendo a manuteno de uma infra-estrutura do Active Directory do Microsoft Windows Server 2003.


17

O que so nomes distintos e nomes distintos relativos?

*****************PARA USO EXCLUSIVO DOS MICROSOFT CERTIFIED TRAINERS***************** Introduo Os computadores clientes usam o protocolo LDAP para procurar e modificar objetos de um banco de dados do Active Directory. O LDAP um subconjunto do X.500, um padro do setor que define como os diretrios devem ser estruturados. O LDAP usa informaes sobre a estrutura de um diretrio para localizar objetos individuais, cada um dos quais possui um nome exclusivo. O LDAP usa um nome que representa um objeto do Active Directory atravs de uma srie de componentes relacionados estrutura lgica. Essa representao, chamada de nome distinto do objeto, identifica o domnio em que o objeto est localizado e o caminho completo atravs do qual o objeto ser alcanado. Um nome distinto deve ser exclusivo em uma floresta do Active Directory. O nome distinto relativo de um objeto identifica exclusivamente o objeto em seu recipiente. No pode haver dois objetos com o mesmo nome em um recipiente. O nome distinto relativo sempre o primeiro componente do nome distinto, mas nem sempre um nome comum.

Definio

18


Exemplo de um nome distinto

No caso de um usurio chamado Suzan Fine da unidade organizacional Sales do domnio Contoso.msft, cada elemento da estrutura lgica representado pelo seguinte nome distinto:CN=Suzan Fine,OU=Sales,DC=contoso,DC=msft! !

CN o nome comum do objeto neste recipiente. OU a unidade organizacional que contm o objeto. Pode haver mais de um valor OU se o objeto estiver em uma unidade organizacional aninhada. DC um componente do domnio, como com ou msft. Sempre h pelo menos dois componentes do domnio, mas pode haver mais se o domnio for um domnio filho.

!

Os componentes do domnio do nome distinto so baseados no DNS. Exemplo de um nome distinto No exemplo a seguir, Sales o nome distinto relativo de uma unidade organizacional representada pelo seguinte caminho de nomeao LDAP:OU=Sales,DC=contoso,DC=msft


19

Multimdia: Como o Active Directory habilita um SSO

*****************PARA USO EXCLUSIVO DOS MICROSOFT CERTIFIED TRAINERS***************** Local do arquivo Para exibir a apresentao Como o Active Directory habilita um SSO, abra a pgina da Web no CD do Material do aluno, clique em Multimdia e, em seguida, clique no ttulo da apresentao. No abra a apresentao at que o instrutor solicite. No final desta apresentao, voc ser capaz de:! !

Objetivos

Descrever o processo usado pelo Active Directory para habilitar um SSO. Discutir a importncia de um SSO.

Pontos-chave

Ao ativar um SSO, o Active Directory torna transparente para o usurio o complexo processo de autenticao e autorizao. Os usurios no precisam gerenciar vrios conjuntos de credenciais. Um SSO consiste em:! !

Autenticao, que verifica as credenciais da tentativa de conexo. Autorizao, que verifica se h permisso para a tentativa de conexo.

Como engenheiro de sistemas, voc deve compreender como os processos funcionam para otimizar e solucionar problemas referentes estrutura do Active Directory.

20


Lio: Examinando o Active Directory

*****************PARA USO EXCLUSIVO DOS MICROSOFT CERTIFIED TRAINERS***************** Introduo O Windows Server 2003 fornece aos administradores snap-ins e ferramentas de linha de comando para que eles gerenciem o Active Directory. Esta lio apresenta esses snap-ins e ferramentas de linha de comando, alm de explicar como us-los para examinar a estrutura lgica e fsica do Active Directory. Depois de concluir esta lio, voc ser capaz de:!

Objetivos da lio

Explicar como o Active Directory foi projetado para permitir gerenciamento centralizado e descentralizado. Descrever as ferramentas de linha de comando e snap-ins administrativos comuns do Active Directory. Examinar a estrutura lgica e fsica do Active Directory.

!

!


21

Gerenciamento do Active Directory

*****************PARA USO EXCLUSIVO DOS MICROSOFT CERTIFIED TRAINERS***************** Introduo Com o Active Directory, voc pode gerenciar um grande nmero de usurios, computadores, impressoras e recursos de rede a partir de um local central usando as ferramentas e snap-ins administrativos do Windows Server 2003. O Active Directory tambm d suporte administrao descentralizada. Um administrador com a autoridade apropriada pode delegar um conjunto de privilgios administrativos a outros usurios ou grupos da organizao. O Active Directory possui vrios recursos que do suporte ao gerenciamento centralizado:!

Como o Active Directory d suporte ao gerenciamento centralizado

Contm informaes sobre todos os objetos e seus atributos. Os atributos contm dados que descrevem os recursos identificados pelo objeto. Como as informaes sobre todos os recursos de rede so armazenadas no Active Directory, um administrador pode centralizar o gerenciamento e a administrao de recursos na rede. Voc pode realizar consultas no Active Directory usando protocolos como o LDAP. Voc pode localizar facilmente informaes sobre objetos procurando os atributos selecionados do objeto, usando ferramentas que do suporte ao LDAP. Voc pode organizar objetos com requisitos de segurana e administrao semelhantes em unidades organizacionais. As unidades organizacionais fornecem vrios nveis de autoridade administrativa, de modo que voc pode aplicar as definies de uma diretiva de grupo e delegar o controle administrativo. Essa delegao simplifica a tarefa de gerenciamento desses objetos e permite que voc estruture o Active Directory de forma que se adapte aos requisitos da sua organizao. Voc pode especificar uma diretiva de grupo para um site, um domnio ou uma unidade organizacional. Assim, o Active Directory impe essas diretivas de grupo a todos os usurios em um recipiente.

!

!

!

22


Como o Active Directory d suporte ao gerenciamento descentralizado

O Active Directory tambm d suporte a gerenciamento descentralizado. Voc pode atribuir permisses e conceder direitos aos usurios de formas bastante especficas. Por exemplo, voc pode delegar privilgios administrativos sobre determinados objetos s equipes de vendas e marketing de uma organizao. Voc pode delegar a atribuio de permisses:!

Para unidades organizacionais especficas a diferentes grupos locais do domnio. Por exemplo, a delegao da permisso Controle total para a unidade organizacional Sales. Para modificar atributos especficos de um objeto de uma unidade organizacional. Por exemplo, a atribuio de permisso para alterar o nome, o endereo e o telefone e para redefinir as senhas de um objeto de conta de usurio. Para desempenhar a mesma tarefa, como a redefinio de senhas, em todas as unidades organizacionais de um domnio.

!

!


23

Ferramentas e snap-ins administrativos do Active Directory

*****************PARA USO EXCLUSIVO DOS MICROSOFT CERTIFIED TRAINERS***************** Introduo O Windows Server 2003 fornece vrios snap-ins e ferramentas de linha de comando para gerenciamento do Active Directory. Para gerenciar o Active Directory, voc tambm pode usar os objetos ADSI (Active Directory Service Interfaces, interfaces de servios do Active Directory) provenientes dos scripts do Host de scripts do Windows. A ADSI uma interface simples mas eficiente do Active Directory que serve para criar scripts reutilizveis para gerenciamento do Active Directory. A tabela a seguir descreve alguns snap-ins administrativos comuns para o gerenciamento do Active Directory.Descrio Um MMC (Microsoft Management Console) usado para gerenciar e publicar informaes no Active Directory. Voc pode gerenciar contas de usurio, grupos, contas de computadores, acrescentar computadores a um domnio, gerenciar direitos de usurios e diretivas de contas, alm de diretivas de auditoria. Um MMC usado para gerenciar relaes de confiana de florestas e domnios, acrescentar sufixos ao nome principal do usurio e alterar os nveis funcionais de florestas e domnios. Um MMC usado para gerenciar a replicao de dados do diretrio. Um MMC usado para gerenciar o esquema. O MMC no est disponvel por padro no menu Ferramentas administrativas. necessrio acrescent-lo manualmente.

Snap-ins administrativosSnap-in Usurios e computadores do Active Directory

Domnios e relaes de confiana do Active Directory Servios e sites do Active Directory Esquema do Active Directory

Observao Voc tambm pode usar o editor ADSI para exibir, criar, modificar e excluir objetos no Active Directory. O editor ADSI no instalado por padro. Para instalar o editor ADSI, instale as ferramentas de suporte do Windows Server 2003 que se encontram na pasta \Support\Tools do CD do produto.

24


Voc pode personalizar consoles administrativos de forma que correspondam s tarefas administrativas que delegar a outros administradores. Voc tambm pode combinar todos os consoles necessrios a cada funo administrativa em um nico console. Ferramentas administrativas de linha de comandoFerramenta Dsadd Dsmod Dsquery

A tabela a seguir descreve algumas ferramentas de linha de comando comuns que podem ser usadas no gerenciamento do Active Directory.Descrio Adiciona objetos, como computadores, usurios, grupos, unidades organizacionais e contatos, ao Active Directory. Modifica objetos, como computadores, servidores, usurios, grupos, unidades organizacionais e contatos, no Active Directory. Executa consultas no Active Directory de acordo com os critrios especificados. Voc pode executar consultas em servidores, computadores, grupos, usurios, sites, unidades organizacionais e parties. Move um nico objeto, dentro de um domnio, para um novo local no Active Directory ou renomeia um nico objeto sem mov-lo. Exclui um objeto do Active Directory. Exibe atributos selecionados de um computador, um contato, um grupo, uma unidade organizacional, um servidor ou um usurio no Active Directory. Importa e exporta dados do Active Directory usando um formato separado por vrgulas. Cria, modifica e exclui objetos do Active Directory. Tambm pode expandir o esquema do Active Directory, exportar informaes de usurios e grupos para outros aplicativos e servios, alm de preencher o Active Directory com dados de outros servios de diretrios.

Dsmove Dsrm Dsget Csvde Ldifde

Observao Para obter mais informaes sobre as ferramentas de linha de comando do Windows Server 2003, consulte Gerenciando o Active Directory da linha de comando em Ajuda e suporte. Host de scripts do Windows Embora o Windows Server 2003 fornea vrias ferramentas de linha de comando e snap-ins para gerenciamento do Active Directory, esses componentes no so adequados realizao de operaes em lotes para alteraes no Active Directory que envolvam situaes complexas. Nesses casos, voc pode fazer as alteraes de modo mais rpido usando scripts. Por exemplo, voc pode alterar o primeiro dgito do ramal telefnico de 3 para 5 e de 4 para 5 de todos os funcionrios que tiverem sido transferidos para o prdio 5. Voc pode criar scripts do Host de scripts do Windows que usem o ADSI para desempenhar as seguintes tarefas:! ! ! ! !

Recuperar informaes sobre objetos do Active Directory Acrescentar objetos ao Active Directory Modificar valores de atributos de objetos do Active Directory Excluir objetos do Active Directory Estender o esquema do Active Directory

O ADSI usa o protocolo LDAP para estabelecer comunicao com o Active Directory.


25

Como examinar o Active Directory

*****************PARA USO EXCLUSIVO DOS MICROSOFT CERTIFIED TRAINERS***************** Introduo Voc pode exibir a estrutura fsica e lgica do Active Directory usando Usurios e computadores do Active Directory, Servios e sites do Active Directory e Domnios e relaes de confiana do Active Directory. Para exibir a estrutura lgica e fsica do Active Directory, execute as seguintes etapas: 1. Abra Usurios e computadores do Active Directory e exiba as unidades organizacionais do Active Directory. Para isso, execute as seguintes etapas: a. Clique em Iniciar, aponte para Todos os programas, aponte para Ferramentas administrativas e clique em Usurios e computadores do Active Directory. b. Na rvore do console, expanda Usurios e computadores do Active Directory. c. Na rvore do console, expanda o domnio cujas unidades organizacionais voc deseja exibir. d. Exiba a pgina Propriedades de cada recipiente da rvore do console. e. Determine o tipo de objeto usando as informaes sobre a classe do objeto na guia Objeto. A classe de objeto das unidades organizacionais Unidade organizacional. 2. Abra Domnios e relaes de confiana do Active Directory para exibir a estrutura lgica do Active Directory. Para isso, execute as seguintes etapas: a. Clique Iniciar, aponte para Todos os programas, aponte para Ferramentas administrativas e clique em Domnios e relaes de confiana do Active Directory. b. No painel esquerdo, expanda o n que representa o domnio raiz da floresta para exibir os domnios que constituem a estrutura lgica do Active Directory.

Procedimento

26


3. Abra Servios e sites do Active Directory para exibir a estrutura fsica do Active Directory. Para isso, execute as seguintes etapas: a. Clique Iniciar, aponte para Todos os programas, aponte para Ferramentas administrativas e clique em Servios e sites do Active Directory. b. Na rvore do console, expanda Sites e, em seguida, expanda a pasta que representa o site cuja lista de servidores voc deseja exibir. c. Clique em Servidores para exibir uma lista de servidores no painel direito. Observao Para obter mais informaes sobre como examinar o Active Directory, consulte Como examinar o Active Directory no mdulo 1 nos apndices do CD do Material do aluno.


27

Prtica: Examinando a estrutura do Active Directory

*****************PARA USO EXCLUSIVO DOS MICROSOFT CERTIFIED TRAINERS***************** Objetivos Cenrio Nesta prtica, voc examinar a estrutura lgica e fsica do Active Directory. Hoje seu primeiro dia como engenheiro de sistemas na Northwind Traders. Seu gerente pediu que voc estudasse a estrutura fsica e lgica do Active Directory na Northwind Traders.

Prtica

! Examinar a estrutura padro dos objetos do Active Directory usandoUsurios e computadores do Active Directory 1. Faa logon como nwtraders\NomeDoComputadorUser, com a senha P@ssw0rd. 2. Instale o Pacote de ferramentas de administrao do Windows Server 2003. Para isso, execute as seguintes etapas: a. Clique em Iniciar, clique com o boto direito do mouse em Prompt de comando e, em seguida, clique em Executar como. b. Na caixa de dilogo Executar como, clique em O seguinte usurio, digite o nome de usurio nwtraders\administrador e a senha P@ssw0rd e, em seguida, clique em OK. c. No prompt de comando, digite \\London\OS\i386\Adminpak.msi e pressione ENTER. d. Na caixa de dilogo Download de arquivo, clique em Abrir e conclua a instalao. e. Feche a janela do prompt de comando. 3. Abra Usurios e computadores do Active Directory. 4. Habilite Recursos avanados.

28


5. Expanda nwtraders.msft e localize o objeto Locations. Qual o tipo do objeto? O objeto Locations uma unidade organizacional. ____________________________________________________________ ____________________________________________________________ 6. Expanda Locations. Quais so os tipos de objetos da pasta? A unidade organizacional Locations contm 25 unidades organizacionais, cada uma com um nome de cidade diferente. ____________________________________________________________ ____________________________________________________________ 7. Os objetos da pasta Locations representam localizaes geogrficas de uma organizao. Cada local contm trs objetos. Qual o propsito desses objetos? Cada unidade organizacional nome de cidade contm trs unidades organizacionais denominadas Users, Computers e Groups. Essas unidades organizacionais so projetadas para comportar os objetos usurio, computador e grupo, respectivamente. ____________________________________________________________ ____________________________________________________________ 8. Abra qualquer um dos recipientes que representam um local e, em seguida, abra o recipiente Users. O que voc observa sobre os objetos localizados nesse recipiente? Todos os objetos esto desabilitados. ____________________________________________________________

! Examinar a estrutura padro do Active Directory usando Serviose sites do Active Directory 1. Abra Servios e sites do Active Directory. 2. Expanda Sites, clique com o boto direito do mouse em Primeiro-sitepadrao e, em seguida, clique em Propriedades.


29

3. Na guia Segurana, exiba as permisses do grupo Admins. do domnio. Quais so as permisses? O grupo Admins. do domnio possui as permisses Leitura, Gravao, Criar todos os objetos filho, Abrir fila do conector e Permisses especiais para o site Primeiro-site-padrao. ____________________________________________________________ ____________________________________________________________ 4. Exiba as permisses atribudas ao grupo Admins. do domnio para o objeto em Primeiro-site-padrao\Servers\London. O que voc observa? O grupo Admins. do domnio possui permisso de controle total para o objeto do servidor London, mas no possui permisso de controle total para Primeiro-site-padrao. ____________________________________________________________ ____________________________________________________________

! Examinar a estrutura padro do Active Directory usando Domniose relaes de confiana do Active Directory 1. Abra Domnios e relaes de confiana do Active Directory. 2. Expanda nwtraders.msft e exiba as propriedades de nwtraders.msft. O que voc observa? Esta etapa indica as relaes de confiana em vigncia no domnio. ____________________________________________________________ 3. Escolha gerenciar o domnio corp.nwtraders.msft. O que voc observa? Esta etapa leva voc para Usurios e computadores do Active Directory. ____________________________________________________________

30


Lio: Os processos de design, planejamento e implementao do Active Directory

*****************PARA USO EXCLUSIVO DOS MICROSOFT CERTIFIED TRAINERS***************** Introduo Objetivo da lio Esta lio fornece uma viso geral dos processos de design, planejamento e implementao do Active Directory. Depois de concluir esta lio, voc ser capaz de:! ! ! !

Distinguir entre design, planejamento e implementao do Active Directory. Descrever as fases do processo de design do Active Directory. Descrever as fases do processo de planejamento do Active Directory. Descrever as fases do processo de implementao do Active Directory.


31

Viso geral do design, do planejamento e da implementao do Active Directory

*****************PARA USO EXCLUSIVO DOS MICROSOFT CERTIFIED TRAINERS***************** Introduo A implementao do Active Directory comea com a criao do design do Active Directory. Voc deve usar esta etapa para planejar a implementao do Active Directory e implement-lo. Arquitetos de sistemas criaram o design do Active Directory com base nos requisitos comerciais de uma organizao. Esses requisitos comerciais determinam as especificaes funcionais do design. O plano de implementao do Active Directory determina o modo como o design do Active Directory implementado baseado na infra-estrutura de hardware da organizao. Por exemplo, o design do Active Directory pode especificar o nmero dos controladores de domnio para cada domnio baseado em uma configurao de servidor especfica. Entretanto, se essa configurao no estiver disponvel, voc poder optar por alterar o nmero de servidores na fase de planejamento para satisfazer os requisitos comerciais da organizao. Aps implementar o Active Directory, voc dever gerenci-lo e mant-lo para garantir a disponibilidade, a confiabilidade e a segurana da rede. Este curso descreve as fases de planejamento e implementao. O design detalhado do Active Directory est fora do escopo deste curso. Implementao do Active Directory Durante a implantao do Active Directory, os engenheiros de sistemas:! ! ! ! !

Design do Active Directory Plano de implementao do Active Directory

Criam a floresta e a estrutura de domnio e implantam os servidores. Criam a estrutura de unidade organizacional. Criam as contas de computadores e usurios. Criam os grupos de distribuio e segurana. Criam os GPOs (Group Policy objects, objetos de diretivas de grupo) e os aplicam a domnios, sites e unidades organizacionais. Criam as diretivas de distribuio de software.

!

32


Processo de design do Active Directory

*****************PARA USO EXCLUSIVO DOS MICROSOFT CERTIFIED TRAINERS***************** Introduo O design do Active Directory inclui vrias tarefas, cada uma das quais define os requisitos funcionais para um componente de uma implementao do Active Directory. O processo de design do Active Directory inclui as seguintes tarefas:!

Tarefas do processo de design do Active Directory

Coletar informaes organizacionais. Essa primeira tarefa define a necessidade do servio de diretrio e dos requisitos comerciais para o projeto. Exemplos de informaes organizacionais incluem um perfil organizacional de alto nvel, locais geogrficos da organizao, infraestrutura de rede e tcnica, bem como planos de alteraes na organizao. Analisar informaes organizacionais. Voc analisa as informaes coletadas para avaliar sua relevncia e seu valor para o processo de design. Determine as informaes mais importantes e os componentes do design do Active Directory afetados por elas. Prepare-se para utilizar essas informaes durante o processo de design. Analisar opes de design. Quando voc analisar requisitos comerciais especficos, possvel que vrias opes de design satisfaam esses requisitos. Por exemplo, um requisito administrativo pode ser satisfeito atravs de uma estrutura de unidade organizacional ou de um design de domnio. Cada opo que voc fizer afetar os outros componentes do design, portanto, seja flexvel na abordagem ao design durante todo o processo.

!

!


33

Selecionar um design. Desenvolva vrios designs para o Active Directory e compare os pontos fortes e fracos. Ao selecionar um design, examine os requisitos comerciais conflitantes e considere os efeitos em suas opes de design. possvel que vrias opes de design sejam boas. Escolha o design que satisfaa o maior nmero de requisitos comerciais e que apresente a melhor opo geral. Refinar o design. provvel que a primeira verso de seu plano de design seja alterada antes da fase de implementao do piloto. O processo de design repetitivo porque voc deve considerar muitas variveis para o design da infra-estrutura do Active Directory. Reveja e refine o conceito de cada design vrias vezes para acomodar todos os requisitos comerciais.

!

Resultados do processo de design do Active Directory

Os resultados da fase de design do Active Directory incluem os seguintes elementos:!

Design de florestas e domnios. O design de florestas inclui informaes como o nmero de florestas necessrio, as diretrizes para criao de relaes de confiana e o nome de domnio totalmente qualificado (FQDN, fully qualified domain name) do domnio raiz de cada floresta. O design tambm inclui a diretiva de controle de alterao de florestas, que identifica os processos de aprovao e propriedade para alteraes de configurao que tenham impacto em toda a floresta. Identifique o responsvel por determinar a diretiva de controle de alterao de cada floresta da organizao. Se houver vrias florestas em seu plano de design, voc poder avaliar se as relaes de confiana so necessrias para o compartilhamento de recursos de rede entre florestas. O design do domnio indica o nmero de domnios necessrios em cada floresta, qual ser o domnio raiz de cada floresta e a hierarquia do domnio se houver vrios domnios no design. O design do domnio tambm inclui o nome DNS de cada domnio e todas as relaes de confiana entre domnios.

!

Design da unidade organizacional. Especifica como voc criar as unidades organizacionais para cada domnio na floresta. Inclua uma descrio da autoridade administrativa que se aplicar a cada unidade organizacional e a quem essa autoridade administrativa ser delegada. Por ltimo, inclua a estratgia para aplicar a diretiva de grupo estrutura de unidade organizacional. Design do site. Especifica o nmero e a localizao de sites na organizao, os links de site necessrios e o custo dos links.

!

34


Processo de planejamento do Active Directory

*****************PARA USO EXCLUSIVO DOS MICROSOFT CERTIFIED TRAINERS***************** Introduo O resultado do processo de planejamento o plano de implementao do Active Directory. O plano consiste em vrios planos que definem os requisitos funcionais para um componente especfico de uma implementao do Active Directory. Um plano do Active Directory inclui os seguintes componentes:!

Componentes de um plano de implementao do Active Directory

Estratgia de contas. Inclui informaes, como diretrizes para configurao de bloqueio e nomeao de contas, para diretiva de senhas e para configurao de segurana em objetos. Estratgia de auditoria. Determina como monitorar as modificaes nos objetos do Active Directory. Plano de implementao de unidade organizacional. Define como criar unidades organizacionais e quais unidades devem ser criadas. Por exemplo, se o design da unidade organizacional especificar que as unidades organizacionais sero criadas geograficamente e organizadas por unidade comercial em cada rea geogrfica, o plano de implementao da unidade organizacional definir as unidades organizacionais a serem implementadas, como vendas, recursos humanos e produo. O plano tambm fornecer diretrizes para delegao de autoridade. Plano de diretiva de grupo. Determina quem cria, vincula e gerencia os GPOs e como essa diretiva ser implementada. Plano de sites. Especifica os sites, os links de site e o agendamento de links. Tambm especifica o intervalo e o agendamento de replicao, assim como as diretrizes para segurana e configurao de replicao entre sites.

!

!

!

!


35

Plano de implantao de software. Especifica como voc usar a diretiva de grupo para implantar novos softwares e atualizaes de softwares. Por exemplo, o plano pode especificar se as atualizaes de programas so obrigatrias ou opcionais. Plano de posicionamento de servidor. Especifica o posicionamento de controladores de domnio, servidores de catlogo global, servidores DNS integrados do Active Directory e mestres de operaes. Tambm especifica se voc habilitar o cache de membros de grupos universais para sites que no possuem um servidor de catlogo global.

!

Quando o plano de todos os componentes estiver concludo, combine-os para montar o plano de implementao do Active Directory completo.

36


Processo de implementao do Active Directory

*****************PARA USO EXCLUSIVO DOS MICROSOFT CERTIFIED TRAINERS***************** Introduo Quando o plano de implementao do Active Directory estiver pronto, voc poder comear a implementar o Active Directory de acordo com o plano de design. Execute as seguintes tarefas ao implementar o Active Directory:!

Processo de implementao

Implemente as estruturas de floresta, domnio e DNS. Crie o domnio raiz da floresta, as rvores do domnio e todos os domnios filho que constituem a hierarquia de floresta e domnio. Crie unidades organizacionais e grupos de segurana. Crie a estrutura de unidade organizacional para o domnio de cada floresta, crie grupos de segurana e delegue autoridade administrativa aos grupos administrativos de cada unidade organizacional. Crie contas de usurio e computador. Importe as contas de usurios para o Active Directory. Crie GPOs. Crie GPOs com base na estratgia de diretiva de grupo e vincule-os a sites, domnios ou unidades organizacionais. Implemente os sites. Crie os sites de acordo com o plano de sites, crie links de site, defina o agendamento dos links e implante controladores de domnio, servidores de catlogo global, servidores DNS e mestres de operaes em sites.

!

!

!

!

aula 01-introducao ao active directory

Documents