aula 03 - active directory parte 1

Laboratório de Desenvolvimento III Fabio Brussolo

1

Aula 03 – Active Directory

Sumário 3.0 - Objetivo desta aula ........................................................................................................... 2

3.1 Introdução ...................................................................................................................... 2

3.2 Conceito de Diretório ...................................................................................................... 2

3.2.1 Aplicações de Diretórios no mundo da Informática ................................................... 3

3.2.2 Prática de Diretório em Empresas ............................................................................. 5

3.3 – Domínios e Grupos de Trabalho (Workgroup) ............................................................... 7

3.3.1 – Funcionamento de uma Rede baseada no modelo Workgroup............................... 7

3.4 - Funcionamento de uma rede baseada no Conceito de Diretório – Domínio ................... 8

3.5 – Árvores de Domínio e Unidades Organizacionais .......................................................... 8

3.6 – Active Directory .......................................................................................................... 10

3.7 – Árvore de Domínio ..................................................................................................... 11

3.8 – Unidades Organizacionais ........................................................................................... 12

3.9 – Contas de Usuários, Computadores e Grupos de Usuários .......................................... 12

3.9.1 - Contas de Usuários ............................................................................................... 12

3.9.2 – Grupos de Usuários .............................................................................................. 13

3.10 Instalação do AD.......................................................................................................... 14

3.10.1 - Instalando o Active Directory .............................................................................. 15

3.10.2 - Serviço de DNS do Windows Server 2008 R2 ....................................................... 25

3.11 – Exercícios – Prática ................................................................................................... 31

3.11.1 – Utilizando a sua máquina virtual com o Windows Server 2008, desenvolva: ....... 31


2

3.0 - Objetivo desta aula Nesta aula será apresentado uma visão geral sobre o Active Directory, sendo

demonstrado o conceito de Diretório, Domínios e Workgroups.

3.1 Introdução

O Active Directory foi, sem dúvidas, a grande novidade do Windows 2000

Server em relação ao Windows NT Server 4.0. No Windows Server 2008 o Active

Directory também é o elemento central, fundamental, sobre o qual é planejada e im-

plementada uma infra-estrutura de rede. O Active Directory fornece os meios para

gerenciar identidades e relacionamentos que compõem a rede da organização. Inte-

grado ao Windows Server 2008 R2, o Active Directory fornece a funcionalidade ime-diata necessária para configurar e administrar centralmente os parâmetros do siste-ma, de usuários e aplicativos.

3.2 Conceito de Diretório

Diretórios por si só não são difíceis de serem compreendidos. Uma estrutura

organizada em diretórios tem por finalidade facilitar a busca de informações armaze-

nadas na mesma. Sua existência é fundamentada na necessidade da indicação de direções.

Imagine que você precise pesquisar uma palavra no dicionário, primeiro você

pega o dicionário procura a letra inicial da palavra desejada e depois procura a pala-

vra que se deseja encontrar, sendo que cada uma dessas etapas tem relação de dependência e são organizadas de forma hierárquica.

Eles possuem o mesmo princípio de orientação do dicionário e são organiza-

dos de forma hierárquica onde um principal, chamado de raiz, é a base para todos

os demais. Os diretórios pertencentes a tal podem conter outros que por sua vez

podem conter outros e assim sucessivamente formando uma hierarquia onde a or-ganização da mesma recebe o nome de árvore.

Esta estrutura guia o usuário para facilitar a procura de uma informação, pas-sando desde a raiz, depois pelos diretórios subjacentes até se chegar à informação desejada.


3

Sua organização deve ser de uma forma lógica e coerente, para que suas di-

reções sempre estejam corretas. Imagine agora que você está procurando uma pa-

lavra no dicionário que comece com a letra “A”, mas a palavra foi colocada entre as de letra “B”, isso geraria uma dor de cabeça terrível, afinal ao invés de ajudar a dire-ção estaria atrapalhando, contrariando o princípio de sua existência.

3.2.1 Aplicações de Diretórios no mundo da Informática Trigo (2007, p. 18), define Diretório como sendo “um serviço de armazena-

mento hierárquico de informações com o objetivo principal de facilitar a pesquisa e a

recuperação dessas informações”. Por sua vez, Tuttle (2003, doc. eletrônico) des-

creve o diretório como “uma lista de informações sobre objetos organizados ou cata-logados em uma ordem, e que fornece o acesso aos dados dos objetos”.

Na informática tudo o que precisa de organização utiliza o princípio de diretó-

rios: sistemas de arquivos, protocolos de transferência de arquivos, sistemas de ar-

mazenamento WEB, banco de dados e até mesmo o editor de registro do MS-

Windows. Ou seja, seu conceito é usado por tudo que precise de organização, mas apesar de ser organizado em forma de diretórios, o serviço usado não é necessari-

amente um serviço de diretório, podendo vir a usufruir da utilização de um.

O serviço de diretório é responsável por prover o armazenamento, a organi-

zação das informações durante a escrita e o armazenamento, para futuro resgate

por terceiros. É uma ferramenta a mais que pode ser usada para complementar à

utilização de outros serviços facilitando manutenção, a busca e localização de dados

por usuários e aplicativos, onde todos os serviços compartilham o mesmo servidor

de diretório e a mesma árvore de informações.

A utilização de um serviço de diretório se justifica no âmbito de redes de com-

putadores, sendo ela de pequeno, médio ou grande porte, pois ao utilizar um servi-

dor de diretórios, os dados atualizados ficarão disponíveis a todos os serviços da rede, facilitando e muito a vida dos administradores, através da utilização do concei-

to denominado centralização de informações.

Com a centralização ficará muito mais fácil a manutenção dos dados, tal co-mo a disponibilização de novas informações na rede. Imagine uma empresa onde

existem dez máquinas e todas elas devem manter dados de clientes atualizados em


4

diversos aplicativos. Caso não utilizem um serviço de diretório, a manutenção destes

teria que ser feita na base de dados de cada aplicativo onde seria difícil dar a garan-tia de que os dados, em todos eles, ficariam 100% sincronizados.

O serviço de diretório é aquele que armazena informações de forma hierár-

quica, obedecendo aos critérios que regem seu princípio de organização, possibili-

tando buscas e consultas, podendo ser ou não distribuídos, disponibilizando suas informações para auxiliar outros serviços, protocolos e aplicativos.

Quando se fala em diretórios distribuídos, isto significa que se irá trabalhar

com mais de um servidor de diretórios. Uma árvore de diretórios é considerada dis-tribuída quando ela está armazenada em dois ou mais servidores. Apesar da árvore

estar fisicamente separada, a pesquisa continua centralizada e todos os dados per-

tencem à mesma árvore, sendo que em cada servidor há referências para os nós da

rede em que estão os demais servidores, de forma que logicamente a árvore de di-retórios seja uma só.

Uma busca pode ser realizada através do princípio da árvore (raiz) ou a partir

de um nó, indicado pelo usuário, que esteja mais próximo da informação desejada,

sendo que no segundo caso a resposta será mais rápida. No caso de diretórios dis-

tribuídos, a pesquisa será realizada primeiro no servidor raiz e depois passa pelos

demais. Caso seja estipulado pelo usuário um servidor específico para se iniciar a

pesquisa, a resposta será consideravelmente mais rápida, pois ao invés de pesqui-

sar em todos os servidores, a pesquisa será feita a partir de um ponto específico da árvore.

Já no caso dos diretórios distribuídos que utilizem meios externos, como a in-

ternet, a pesquisa será feita inicialmente no servidor ou servidores locais. Se a in-

formação não for encontrada o servidor local redirecionará a busca para os servido-

res externos, tendo um tempo de resposta consideravelmente mais lento, já que a banda da internet é muito menor que a de uma rede local. Claro que em todos os

casos citados acima, para que as buscas ocorram da forma esperada é inevitável

que os servidores de diretórios sejam previamente configurados de forma correta pelo técnico responsável ou o administrador da rede.


5

3.2.2 Prática de Diretório em Empresas Em uma empresa, normalmente o usuário para realizar o seu trabalho diário,

tem que acessar aplicações e serviços em diferentes plataformas e modelos, o que implica um login e senha diferente, para cada um dos sistemas acessados:

No Mainframe: alguns sistemas da empresa (muitas vezes a maioria dos sis-

temas) ainda estão no Mainframe, com acesso através de aplicativos emula-

dores de Terminal, instalados na estação de trabalho do usuário. Estes apli-cativos mantêm a interface a caractere, típica da época do Mainframe. A tão

famosa telinha preta com letras verdes. Por exemplo, pode ser que o sistema

de banco ou de uma rede de supermercados (fazendo controle de vendas, contas, saldos, etc.) ainda esteja no Mainframe.

Em aplicações Cliente/Servidor de 2 camadas: à medida que houve uma mi-

gração do Mainframe em direção ao cliente/servidor, muitas aplicações do

Mainframe foram substituídas por aplicações Cliente/Servidor tradicionais. Por

exemplo, podemos ter uma situação onde o sistema de banco de dados de vendas foi migrado do Mainframe para uma aplicação cliente/servidor. Os da-

dos estão em um ou mais servidores da rede e a aplicação cliente é instalada

na estação de trabalho do usuário.

Sistema de e-mail e intranet da empresa: é praticamente impossível que a

sua empresa não tenha um sistema de e-mail instalado. Com isso você utiliza mais um aplicativo (o cliente de e-mail) para acessar o seu correio eletrônico.

Você também utiliza o navegador para acessar a intranet da empresa. Se a

sua empresa Já evolui bastante no uso da Tecnologia da Informação, é pro-

vável que você use o navegador para acessar o Portal Corporativo da empre-

sa. E aqui temos mais um diretório, com mais um cadastro de usuários, pro-vavelmente não integrado com os demais diretórios da empresa, o que impli-

ca em mais um login e senha parti o usuário memorizar. Como tudo na vida

tem o lado bom e o lado ruim, o lado bom disso tudo é que o usuário vai trei-nando a sua memória.

Neste cenário descrito anteriormente, onde o usuário tem que acessar siste-mas em diferentes ambientes, é necessário um login e senha para cada ambiente.

Por exemplo, no sistema de grande porte, o login pode ser a matrícula do funcioná-


6

rio e uma senha por ele escolhida. Na rede, o login é a primeira parte do seu e-mail,

por exemplo foliveira e, uma senha por ele escolhida. No sistema de e-mail, mais

uma senha. Em cada aplicação Cliente/Servidor, mais uma senha e assim por dian-te. Para piorar um pouco a situação, a senha do Mainframe expira, por exemplo, a

cada 30 dias e ele não pode repetir as últimas cinco senhas. A senha da rede expira

a cada 60 dias e ele não pode repetir as últimas treze senhas. A do e-mail expira a

cada 45 dias e ele não pode repetir as últimas 10. A do sistema xyz expira a cada 40 dias e ele não pode repetir as últimas 6.

Observe que em cada ambiente existe um banco de dados para cadastro do

nome do usuário, senha e outras informações, como por exemplo, senão, matrícula

e assim por diante. Este banco de dados com informações sobre os usuários da re-

de é um exemplo típico de Diretório. Então no Mainframe, onde existe um cadastro de usuários, senhas e perfil de acesso de cada usuário, existe um Direrório. Na re-

de, onde existe um cadastro de usuários, senha, nome, senão, matrícula, etc., temos

mais um diretório. No sistema de e-mail, onde está cadastrado o e-mail do usuário,

senha, grupos, etc., temos um terceiro diretório e assim por diante. Observe que pa-

ra cada diretório (o que implica cadastro em um determinado sistema), o usuário tem uma senha. Então um diretório nada mais é do que um cadastro, ou melhor ainda,

um banco de dados com informações sobre usuários, senhas e outros elementos

necessários ao funcionamento de um sistema, quer seja um conjunto de aplicações

no Mainframe, um grupo de servidores da rede local, o sistema de e-mail ou outro sistema qualquer.

Quando criamos um novo usuário, estamos utilizando o serviço de diretório,

estamos guardando, nomes, sobrenomes, endereços, logins, senhas, grupos, ao

qual o usuário pertence dentre outras tantas opções que podemos cadastrar, tudo

isto ficará disponível dentro de uma base de dados, esta base de dados poderá ser utilizada pelos nossos servidores para vários trabalhos. A seguir é dado três exem-plos de serviço de diretório:

Open Ldap para Sistemas Open Source;

EDirectory para Sistemas Novell;

Active Directory para Sistemas Microsoft e com suporte para todos acima ci-tados.


7

No mercado de hoje nossos negócios precisam ter informações rápidas, de

fácil atualização, alta disponibilidade e principalmente muita segurança e o Active Directory pode nos oferecer todos estes atributos e muito mais.

3.3 – Domínios e Grupos de Trabalho (Workgroup)

Uma rede baseada no Windows Server 2008 pode ser criada utilizando-se

dois conceitos diferentes, dependendo da maneira com que os Servidores Windows

Server 2008 são configurados. Os servidores podem ser configurados para fazerem

parte de um Domínio ou de um Grupo de Trabalho, mais comumente chamado de Workgroup.

3.3.1 – Funcionamento de uma Rede baseada no modelo Workgroup Em uma rede baseada no modelo de Workgroups, cada servidor é indepen-

dente do outro, ou seja, os servidores do Workgroup não compartilham uma lista de

usuários, grupos e outras informações. Cada servidor tem a sua própria lista de usu-

ários e grupos.

Agora imagine o usuário Paulo, que está utilizando a sua estação de trabalho.

Ele tenta acessar um recurso (por exemplo, uma pasta compartilhada) no Servidor

01. Uma janela de login é exibida. Ele fornece o seu nome de usuário e senha, e o

acesso (desde que ele tenha as devidas permissões) é liberado. Agora este mesmo

usuário -- Paulo, tenta acessar um recurso no Servidor 02. Novamente uma tela de

login é exibida e ele fornece o seu nome de usuário e senha. O acesso é negado, com uma mensagem de usuário inválido. Ora, isso acontece porque o usuário Paulo

somente está cadastrado no Servidor 01; para o Servidor 02 e para o Servidor 03 é

como se o usuário Paulo não existisse (usuário inválido). Para que o usuário Paulo

possa acessar recursos dos servidores 02 e 03, o Administrador deveria criar uma conta chamada “Paulo” nestes dois servidores”.

Outro cenário, imagine que o usuário Paulo foi cadastrado pelo administrador

com a conta Paulo e senha: abcl23de. Muito bem, o administrador fez o cadastro do

usuário paulo nos três servidores da rede da empresa: Servidor 01, Servidor 02 e

Servidor 03. Agora, cerca de 30 dias depois, o usuário paulo resolveu alterar a sua

senha. Vamos supor que ele estava conectado ao Servidor 03, quando fez a altera-

ção da sua senha para: xyz123kl. Com isso, sua senha foi alterada apenas no Ser-


8

vidor 03 e isso pode ter sido um grande erro do usuário nesse momento. O usuário

agora possui duas senhas diferentes. Será uma confusão para o usuário e um traba-lho em dobro para o Administrador.

3.4 - Funcionamento de uma rede baseada no Conceito de Diretório – Domínio

No modelo baseado em diretório, nós temos uma base de usuários única, ou

seja, todos os servidores da rede compartilham a mesma base de usuários. O que

acontece, na prática, não é que existe uma única base, armazenada em um deter-

minado servidor, e todos os demais servidores acessam esta base. Não, não é isso

o que ocorre na prática é que todos os servidores contêm uma cópia da base de in-formações do diretório.

Alterações efetuadas em um dos servidores são replicadas para os demais

servidores da rede, para que todos fiquem com uma cópia idêntica da base de da-

dos do diretório. O que caracteriza uma rede baseada em diretório é o fato de todos

os servidores terem acesso à mesma base de dados, ou seja, todos compartilham o

mesmo diretório, com as mesmas informações sobre usuários, senhas, grupos de usuários, política de segurança, etc.

3.5 – Árvores de Domínio e Unidades Organizacionais

No Windows Server 2008, o conjunto de servidores, estações de trabalho,

bem como as informações do diretório, é que formam uma unidade conhecida como

Domínio. Todos os servidores que contêm uma cópia da base de dados do Active Directory fazem parte do domínio. As estações de trabalho podem ser configuradas

para fazer parte do domínio. Cada estação de trabalho que faz parte do domínio tem

uma conta de computador criada no domínio. A conta de computador tem o mesmo

nome do computador. Por exemplo, a estação de trabalho micro-001 tem uma conta de computador na base de dados do Active Directory com o nome de micro-001.

Um domínio pode também ser definido como um limite administrativo e de se-

gurança. Ele é um limite administrativo, pois as contas de Administrador têm permis-

sões de acesso em todos os recursos do domínio, mas não em recursos de outros

domínios. Ele é um limite de segurança porque cada domínio tem definições de polí-

ticas de segurança que se aplicam às contas de usuários e demais recursos dentro

de domínio e não a outros domínios. Ou seja, diferentes domínios podem ter diferen-


9

tes políticas e configurações de segurança. Por exemplo, no domínio A, um usuário

pode ter uma política de segurança que define um tamanho mínimo de senha com 8

caracteres. Esta política será válida para todas as contas de usuário do domínio A. Um segundo domínio B pode ter uma política de segurança diferente, a qual define

um tamanho mínimo de senha de 12 caracteres. Esta política será válida para todas

as contas de usuários do domínio B.

Um Domínio é simplesmente um agrupamento lógico de contas e recursos, os

quais compartilham políticas de segurança. As informações sobre os diversos ele-

mentos do domínio (contas de usuários, contas de computador, grupos de usuários,

políticas de segurança, etc.), estão contidas dentro do banco de dados do Active Directory.

Em um domínio baseado no Active Directory e no Windows Server 2008 é

possível ter dois tipos de servidores Windows Server 2008:

Controladores de Domínio (DC Domain Controllers)

Servidores Membro (Member Servers)

A criação de contas de usuários, grupos de usuários e outros elementos do

Active Directory, bem como alterações nas contas de usuários, nas políticas de se-

gurança e em outros elementos do Active Directory, podem ser feitas em qualquer um dos Controladores de Domínio. Uma alteração feita em um DC será automatica-

mente replicada para os demais Controladores de Domínio. Por isso se você cria

uma conta para o usuário jsilva e cadastra uma senha para este usuário, essa conta

passa a ser válida em todo o domínio, sendo que o usuário jsilva pode receber per-

missões para acessar recursos e serviços em qualquer servidor do Domínio, seja em um Controlador de Domínio ou em um Servidor Membro.

Em um Domínio, todos os Controladores de Domínio compartilham uma lista

de usuários, grupos e políticas de segurança, além de algumas outras característi-cas que falarei no tópico sobre o Active Directory. Além disso, as alterações feitas

em um dos Controladores de Domínio são automaticamente replicadas para os de-mais.


10

Os DCs também são responsáveis por fazer a autenticação dos usuários na

rede. Por exemplo, o usuário jsilva trabalha em uma estação de trabalho com o Win-

dows. Esta estação foi configurada para fazer parte de um domínio. Quando o usuá-rio jsilva liga a estação de trabalho e o Windows é inicializado, é apresentada a tela

de logon para que ele forneça o seu nome de usuário e senha. O Windows precisa

verificar se o nome de usuário e senha está correto. O Windows tenta localizar um

DC na rede. É no DC que a verificação é feita, comparando as informações digitadas

pelo usuário com as informações da base de dados do Active Directory. Se as infor-

mações estão OK, o logon é liberado, o usuário é autenticado e a área de trabalho

do Windows é exibida. A partir deste momento, toda vez que o usuário tentar aces-

sar um recurso do domínio, será apresentada a sua autenticação (a qual é tecnica-

mente conhecida como token de acesso) para provar a identidade do usuário para a

rede. Isso evita que o usuário tenha que entrar com o seu logon e senha cada vez

que for acessar um recurso em um servidor diferente.

3.6 – Active Directory

O Active Directory é o serviço de diretórios do Windows Server 2008. Um

Serviço de Diretórios é um serviço de rede, o qual identifica todos os recursos dis-

poníveis em uma rede, mantendo informações sobre estes dispositivos (contas de

usuários, grupos, computadores, recursos, políticas de segurança, etc.) em um ban-co de dados e torna estes recursos disponíveis para usuários e aplicações.

Os recursos disponíveis através do Active Directory são organizados de uma

maneira hierárquica, através do uso de Domínios. Uma rede na qual o Active Direc-

tory está instalado pode ser formada por um ou mais Domínios. Com a utilização do

Active Directory, um usuário somente precisa estar cadastrado em um único Domí-

nio, sendo que este usuário pode receber permissões para acessar recursos em

qualquer um dos Domínios que formam a árvore de domínios da empresa.

O Active Directory utiliza o DNS (Domain Name System) como serviço de no-

meação de recursos e de resolução de nomes. Por isso, um dos pré-requisitos para

que o Active Directory possa ser instalado e funcionar perfeitamente é que o DNS

deve estar instalado e corretamente configurado. O assistente de instalação do Acti-

ve Directory é capaz de instalar e configurar o DNS, caso ele não encontre um ser-vidor DNS adequadamente configurado na rede.


11

Todo Domínio possui as seguintes características:

Todos os objetos de uma rede (contas de usuários, grupos, impressoras, polí-

ticas de segurança, etc.) fazem parte de um único domínio. Cada domínio

somente armazena informações sobre os objetos do próprio domínio.

Cada domínio possui suas próprias políticas de segurança, ou seja, não exis-

te herança de políticas de segurança entre domínios diferentes. Se o domínio

A possui a política A e o domínio B possui a política B, isso significa que a po-

lítica A será aplicada apenas no domínio A e a política B será aplicada ape-

nas no domínio B.

3.7 – Árvore de Domínio

Quando existem diversos domínios relacionados através de relações de con-

fiança, criadas e mantidas automaticamente pelo Active Directory, temos uma Árvore

de domínios. Uma árvore nada mais é do que um agrupamento ou arranjo hierárqui-

co de um ou mais domínios do Windows Server 2008, os quais "compartilham um espaço de nome”.

Figura 3. 1 - Domínio de uma árvore compartilhando um espaço de nomes em comum

O domínio inicial é microsoft.com. Os domínios seguintes são: ve-

das.microsoft.com e suporte.microsoft.com. Quando é formada uma hierarquia de

domínios, compartilhar um espaço de nomes significa que os nomes dos objetos filho (de segundo nível, por exemplo: vendas.microsoft.com e supor-

te.microsoft.com), contêm o nome do objeto pai(microsoft.com). Por exemplo, ven-


12

das.microsoft.com contém microsoft.com. Descendo mais ainda na hierarquia, você

pode observar que este caso continua verdadeiro. Por exemplo, o objeto filho siste-

mas.vendas.microsoft.com contém o nome do objeto Pai vendas.microsoft.com, o qual por sua vez contém o nome do seu objeto pai microsoft.com. Com isso, uma

árvore de diretórios deste tipo forma um espaço de nomes contínuo, onde o nome

do objeto filho sempre contém o nome do objeto pai.

3.8 – Unidades Organizacionais

Uma Unidade Organizacional é uma divisão que pode ser utilizada para orga-

nizar os objetos de um determinado domínio em um agrupamento lógico para efeitos

de administração. Com a utilização de Unidades Organizacionais, é possível restrin-

gir os direitos administrativos apenas a nível da Unidade Organizacional, sem que

com isso o usuário tenha poderes sobre todos os demais objetos do Domínio.

Cada domínio pode implementar a sua hierarquia de Unidades Organizacio-

nais, independentemente dos demais domínios, isto é, os diversos domínios que

formam uma árvore não precisam ter a mesma estrutura hierárquica de unidades organizacionais.

Na Figura 3.1, o domínio vendas.microsoft.com poderia ter uma estrutura hie-

rárquica de Unidades Organizacionais projetada para atender às necessidades do

domínio vendas. Essa estrutura poderia ser completamente diferente da estrutura do

domínio suporte.microsoft.com, a qual será projetada para atender às necessidades

do domínio suporte. Com isso tem-se uma flexibilidade bastante grande, de tal forma

que a árvore de domínios e a organização dos domínios em uma hierarquia de Uni-

dades Organizacionais possam atender perfeitamente às necessidades da empresa.

3.9 – Contas de Usuários, Computadores e Grupos de Usuários

3.9.1 - Contas de Usuários Uma conta de usuário é um objeto do Active Directory, o qual contém diver-

sas informações sobre o usuário, conforme descrito anteriormente. É importante sa-

lientar que a conta somente precisa ser criada uma vez, em um dos Controladores

de domínio. Uma vez criada, a conta será replicado para todos os demais DCs do domínio.


13

Com base nas contas de usuários e grupos, o administrador pode habilitar ou

negar permissões de acesso aos recursos da rede. Por exemplo, o administrador

pode restringir o acesso a pastas e arquivos compartilhados na rede, definindo quais usuários podem ter acesso e qual o nível de acesso de cada usuário (leitura, leitura

e alteração, exclusão e assim por diante). Mais um bom motivo para que cada usuá-

rio tenha a sua própria conta e senha.

Quando for criar nomes de logon para os usuários, leve em consideração os

seguintes detalhes + Nomes de Usuários do Domínio devem ser únicos dentro do Domínio.

Podem ter no máximo 256 caracteres

Caracteres Especiais não podem ser utilizados:

Não pode ser formado somente por pontos ou espaços em branco

3.9.2 – Grupos de Usuários Um grupo de usuários é uma coleção de contas de usuários. Por exemplo,

pode-se criar um grupo chamado Contabilidade, do qual farão parte todos os usuá-rios do departamento de Contabilidade (conta do usuário).

A principal função dos grupos de usuários é facilitar a administração e a atri-

buição de permissões para acesso a recursos, tais como: pastas compartilhadas, impressoras remotas, serviços diversos, etc. Ao invés de dar permissões individual-

mente, para cada um dos usuários que necessitam acessar um determinado recur-

so, cria-se um grupo, inclui os usuários no grupo e atribui permissões para o grupo.

Para que um usuário tenha permissão ao recurso, basta incluir o usuário no grupo,

pois todos os usuários de um determinado grupo, herdam as permissões dos grupos

aos quais o usuário pertence.

Quando estiver trabalhando com grupos de usuários, considere os fatos a se-guir:

Grupos é uma coleção de contas de usuários.

Os membros de um grupo herdam as permissões atribuídas ao grupo.

Os usuários podem ser membros de vários grupos.

Grupos podem ser membros de outros grupos


14

Contas de computadores podem ser membros de um grupo.

3.10 Instalação do AD

Quando você instala o AD DS no Windows Server 2008 você tem várias no-

vas opções de instalação, onde ambas estão disponíveis através do Active Directory

Domain Services Installation Wizard e em uma instalação unattended através da li-

nha de comando. As novas opções de instalação disponíveis são:

DNS Server: No Windows Server 2008 a instalação e configuração do DNS

Server são automáticas quando necessário. Quando você instala o DNS Ser-ver sobre o primeiro Domain Controller dentro de um novo domínio filho no

Windows Server 2008, a delegação para o novo domínio é criado automati-

camente no DNS Server.

Global Catalog Server: No Windows Server 2008 quando você está instalando

um Domain Controller você tem a opção de adicionar a função de Global Ca-

talog Server durante a instalação.

RODC: O Read-Only Domain Controller (RODC) é uma opção nova de Do-

main Controller no Windows Server 2008. O primeiro Domain Controller na floresta ou domínio não pode ser um RODC.

Um controlador de domínio só de leitura (RODC) é um novo tipo de controla-

dor de domínio do Windows Server 2008. Com um RODC, as organizações podem

facilmente implantar um controlador de domínio em locais onde a segurança física

não pode ser garantida. Um RODC hospeda partições somente para leitura dos da-

dos. Antes do lançamento do Windows Server 2008, se os usuários tinham de au-

tenticar com um controlador de domínio por uma rede WAN, não havia alternativa

real. Em muitos casos, esta não era uma solução eficiente. Delegações muitas ve-

zes não podem prestar a devida segurança física, que é necessário para um contro-lador de domínio gravável. Além disso, muitas vezes nos deparamos com redes

“Precárias” conectados a um hub site. Isto pode aumentar a quantidade de tempo

que é necessário para fazer o logon. Também pode dificultar o acesso aos recursos

da rede.


15

3.10.1 - Instalando o Active Directory 1 – Clique em Start, Run e digite dcpromo.exe. Será carregado o Active Directory

Domain Service Installation Wizard.

Figura 3. 2 – Tela Active Directory Domain Service Installation Wizard

- Use Advanced Mode Installation - Modo de instalação avançada fornece aos

usuários experientes com mais controle sobre o processo de instalação, sem con-

fundir os usuários mais recentes com opções de configuração que podem não estar

familiarizados. Para os usuários que não selecionem o modo avançado, o assistente usa opções padrão que se aplicam a maioria das configurações.

Figura 3. 3 - Opções de Advanced Mode Installation


16

2 - Operating System Compatibility (Figura 3.4) que é exibido um alerta sobre o novo

padrão de segurança do Windows Server 2008, o qual informa que ele poderá cau-

sar problemas em clientes Windows NT 4.0, clientes não Microsoft SMB e dispositi-vos NAS, que não suportam algoritmo de criptografia forte. Se a sua rede é micro-

soft e não tem nenhum NT ou se esta é a sua primeira instalação não se preocupe,

clique em Next.

Figura 3. 4 - Operating System Compatibility

3 - Choose a Deployment Configuration (Figura 3.5) você tem a opção de criar um

Domain Controller para uma floresta existente (Existing forest) ou criar um novo Do-

main Controller para uma nova floresta (Create a new domain in a new forest). Como

estamos criando o primeiro Domain Controller da floresta selecione a opção Create a new domain in a new forest e em seguida clique em Next.


17

Figura 3. 5 - Choose a Deployment Configuration

Detalhe: Se você receber a mensagem a seguir, (Figura 3.6) Significa que a

conta local de Administrador não possui uma senha definida, isso pode ocorrer caso

não tenha criado uma senha no ato da instalação do sistema. Por padrão a senha deve ser complexa. Dê OK, faça a correção e clique em Next Novamente.

Figura 3. 6 - Administrador não possui uma senha definida

4- Name the Forest Root Domain (Figura 3.7) você irá definir o nome do domínio raiz

da floresta. Digite um nome FQDN (Fully Qualified Name) e em seguida clique em Next.


18

Figura 3. 7 - Name the Forest Root Domain

Detalhe: Automaticamente o assistente de instalação do Active Directory veri-

fica se o nome FQDN e NetBIOS escolhidos já estão em uso na floresta. Estando tudo ok é dada continuidade na instalação.

5- Set Forest Functional Level (Figura 3.8) O nível funcional da floresta irá fornecer

os recursos disponíveis conforme o nível selecionado, por exemplo, se você selecio-

nar o nível funcional Windows 2000 você terá compatibilidade com Domain Control-

lers com Windows 2000, porém alguns novos recursos do Windows Server 2008 não estarão disponíveis, por isso é importante fazer essa seleção corretamente.

Os níveis de florestas disponíveis são:

Windows 2000 - Todos os recursos padrão do Active Directory para Windows

2000

Windows Server 2003 - Todos os recursos padrão do Active Directory dispo-

níveis no Windows 2000 e os adicionáis para o 2003.

Windows Server 2008 - Esse nível funcional fornece todos os recursos dispo-

níveis no nível funcional de floresta do Windows Server 2003, mas nenhum

recurso adicional. Entretanto, todos os domínios que forem adicionados sub-sequentemente à floresta funcionarão no nível funcional de floresta de domí-

nio Windows Server 2008 por padrão.

Windows Server 2008 R2 – Todas as funções disponíveis para Windows 2008

Server mais a nova função Active Directory Recicle Bin


19

O Active Directory Recycle Bin é uma ferramenta do Windows Server 2008 R2

que proporciona a habilidade de recuperar objetos previamente excluídos sem a ne-

cessidade de parar o servidor para a restauração de um backup. Quando temos o Recycle Bin habilitado, podemos restaurar um objeto com todos os seus atributos intactos sem perca de tempo. Ativaremos essa função no decorrer do artigo.

Detalhe: Ao Definir o nível funcional da floresta para Windows Server 2008 R2 o Nivel funcional de DOMÍNIO é definido automaticamente para Windows Server

2008 R2, você poderá adicionar controladores de domínio que estejam rodando apenas o Windows Server 2008 R2.

Figura 3. 8 - Set Forest Functional Level

6 – Para esse Exemplo vamos selecionar o Windows Server 2008 R2, mas se você

tem a necessidade de selecionar 2000 / 2003 ou o 2008 ao clicar em Next será soli-citado agora o nível funcional para o Dominio “Set Domain Functional Level“.


20

Figura 3. 9 - Set Domain Functional Level

O nível funcional do domínio irá fornecer os recursos disponíveis conforme o

nível selecionado, ao selecionar um determinado nível, uma explicação é exibida pra

o usuário na própria tela. Selecione o Nivel Funcional de Domínio de acordo com

sua necessidade e clique em Next.

7- Additional Domain Controller Options (Figura 3.10) Possibilita incluir certas op-

ções adicionais no Domain Controller. Como estamos instalando o primeiro Domain

Controller da floresta o assistente de instalação automaticamente seleciona a opção

Glogal Catalog. O assistente também seleciona o serviço de DNS Server para que

seja instalado nesse Domain Controller. Seguindo as recomendações damos conti-nuidade. Clique em Next.

Figura 3. 10 - Additional Domain Controller Options


21

8- Se você recebeu a seguinte mensagem (Figura 3.11) é devido ao seu adaptador

de rede estar configurado com IP Dinâmico, Todos sabemos que manter 1 servidor

com IP Dinâmico não é a melhor coisa a se fazer. Configure o IP Fixo se caso ainda não o tenha feito. clique em “No, I will assign static IP addresses to all physical network adapters.”

Figura 3. 11 - Static IP addresses

Detalhe: Se você não utiliza o IPv6 deixe-o desmarcado e configure apenas o

IPv4 de acordo com sua faixa de IP’s. (Figura 3.12) Após a configuração volte ao assistente de instalação do Active Directory e clique em Next.

Figura 3. 12 - faixa de IP’s


22

9- Será exibido um alerta informando que a delegação para o DNS Server não pode

ser criada. Essa mensagem pode ser ignorada, porque o serviço de DNS Server

ainda não está instalado e configurado no Domain Controller. Isso será efetuado au-tomaticamente pelo assistente de instalação do Active Directory. Clique no botão Yes (Figura 3.13)

Figura 3. 13 - assistente de instalação do Active Directory

10-Location for Database, Log Files, and SYSVOL (Figura 3.14) Neste passo vamos

definir onde será armazenado o database, os arquivos de log e a pasta SYSVOL, se você possui apenas uma partição deixe o caminho padrão e clique em Next.

Detalhe: Para uma melhor performance e fácil recuperação do Active Directory é recomendável armazenar o database e os arquivos de logs e volumes separados.

Figura 3. 14 - SYSVOL


23

11 – Directory Services Restore Mode Administrator (Figura 3.15). Defina uma senha

que será usada no “Restore Mode” deste DC. Novamente a senha deve ser Com-plexa.

Figura 3. 15 - Directory Services Restore Mode Administrator

12 - Summary (Figura 2.4) Aqui encontramos um resumo e conferimos as configura-

ções definidas antes de iniciar a instalação, Você também tem a opção de exportar

as configurações para serem utilizadas em uma futura instalação, sendo necessário

somente clicar no botão Export settings e definir o local a ser salvo. Clique em Next para iniciar a Instalação e aguarde.

Figura 3. 16 - Sumário


24

Figura 3. 17 - Tela final

- Active Directory Users and Computers: Para abrir o Console Active Directory Users

and Computers clicar em Start, Administrative Tools e depois em Active Directory Users and Computers.

Figura 3. 18 - Tela Active Directory

Certificate Service DCOM Access, Cryptographic Operators, Event Log Rea-

ders, IIS_IUSRS E no container Users foram criados outros 4 novos grupos, os quais

serão utilizados somente quando você instalar um Domain Controller no modo RODC (Read-Only Domain Controller). (Figura 3.19)

Allowed RODC Password Replication Group


25

Denied RODC Password Replication Group

Enterprise Read-only Domain Controllers

Read-only Domain Controllers

3.10.2 - Serviço de DNS do Windows Server 2008 R2 DNS (Domain Name System) é um sistema que é utilizado em redes TCP / IP

para nomear computadores e serviços de rede que é organizado em uma hierarquia de domínios. Quando um usuário digita um nome DNS em um aplicativo, serviços de

DNS pode resolver o nome para outras informações que está associado ao nome, como um endereço IP.

Windows Server 2008 fornece uma série de melhorias no serviço de servidor

de DNS que melhoram o desempenho do DNS. Inicie o console DNS seguindo a Figura 3.19.

Figura 3. 19 - Iniciando o DNS

Verificar por segurança se as zonas do DNS foram criadas corretamente.

Após abrir o Console DNS, verifique se as seguintes Zonas de pesquisas diretas


26

(Foward Lookup Zones) foram criadas. (Figura 3.20) Clicando em

_msfcs.“seu.dominio” deve ser exibido algo semelhante à imagem.

Figura 3. 20 - Console de DNS

E clicando em “seu.dominio” algo semelhante.

DNS Reverso

O tipo de resolução de nomes mais utilizada é a direta. Nesse tipo de resolu-

ção de nome, o cliente possui o nome DNS e precisa localizar o endereço IP associ-

ado em esse nome. O DNS também suporta o inverso, ou seja, dado um endereço

IP, consegue localizar o nome DNS. As zonas reversas são responsáveis por esse tipo de resolução de nomes.

Inicialmente, o servidor DNS foi projetado para dar suporte somente a resolu-

ção de nomes direta, e a única forma de realizar a resolução de nomes inversa seria

consultando todos os servidores DNS existentes. Com isso, o tempo da resolução seria extremamente longo.


27

Para resolver esse problema, foi o criado o domínio especial in-addr.arpa. Es-

se domínio faz parte das definições atuais do DNS e foi a maneira encontrada para fornecer a resolução reversa de nomes.

Para criar o espaço de nomes reverso, são criados subdomínios do domínio

in-addr.arpa. O nome destes subdomínios é formado pela ordem inversa do número

IP da rede. Por exemplo, a zona para resolução reversa da rede 100.20.50.0 seria 50.20.100.in-addr.arpa.

Os números da rede estão de trás pra frente, pois a resolução é feita de trás

pra frente.

Figura 3. 21 - Selecionando o Dominio criado

criar a Zona de pesquisa inversa (Reverse Lookup Zones) Clicando com o botão di-reito sobre e selecionando “New Zone…”


28

Figura 3. 22 - Criando DNS Reverso

O Assistente para configuração de Nova Zona será iniciado. Clique em Next

Figura 3. 23 - Tela inicial

- Zone Type Agora vamos escolher o tipo de Zona, neste caso “Primary Zone” e cli-camos em Next.


29

Figura 3. 24 - criando Primary Zone

- Active Directory Zone Replication Scope Neste passo vamos selecionar o tipo de

escopo para replicação das zonas no AD. Deixar da forma que está e clicamos em

Next. Dessa forma será replicado para todos os servidores DNS dos DC’s do mesmo domínio.

Figura 3. 25 - Escopo para replicação das zonas no AD

- Reverse Lookup Zone Name. Vamos escolher se desejamos criar uma Zona Inver-

sa para IPv4 ou IPv6 . Neste exemplo usaremos o IPv4. Clique em Next.


30

- Network ID Identificação da Rede. Informe a identificação de sua rede

Figura 3. 26 - Selecionando o endereço da rede

- Dynamic Update As Atualizações Dinâmicas permitem que computadores clientes

registrem e atualizem dinamicamente seus registros de recursos com um servidor

DNS sempre que ocorrerem alterações. É altamente recomendado que você deixe marcado “Permitir somente atualizações dinâmicas seguras” “Allow only secure Dynamic updates”.

Figura 3. 27 - Dynamic Update


31

- Completing The New Zone Wizard Um breve resumo das configurações é apresen-

tado. Clique em Finish para finalizar e verifiquem a nova zona criada.

Figura 3. 28 - Tela final do Wizard

3.11 – Exercícios – Prática

3.11.1 – Utilizando a sua máquina virtual com o Windows Server 2008, desen-volva: a) A infra-estrutura comum está baseada na organização fictícia Contoso. A Contoso

é dona do nome DNS contoso.com, o qual foi configurado com o Assistente de Insta-

lação do Active directory. O Assistente de Instalação está na seção anterior. A figura

3.29 ilustra o exemplo de estrutura do Active Directory.


32

Os aspectos mais inte-

ressantes desta estrutura

são o Domínio (conto-so.com); as Contas, a

Matriz, a Produção, o

Marketing, os Grupos, os

Recursos, os Desktops,

os Laptops, e as unida-

des organizacionais. Es-

tes aspectos são repre-

sentados através das

pastas na Figura 3.29. As

OUs existem para a delegação da administração e para a aplicação da Política de Grupo – não apenas para refletir a organização de uma empresa.

b) Crie um DNS Reverso.

c) Coloque a Máquina do Windows no Domínio.

Figura 3. 29 - Estrutura do Active directory

aula 03 - active directory parte 1

Documents