aula 03 - active directory parte 1
TRANSCRIPT
Laboratório de Desenvolvimento III Fabio Brussolo
1
Aula 03 – Active Directory
Sumário 3.0 - Objetivo desta aula ........................................................................................................... 2
3.1 Introdução ...................................................................................................................... 2
3.2 Conceito de Diretório ...................................................................................................... 2
3.2.1 Aplicações de Diretórios no mundo da Informática ................................................... 3
3.2.2 Prática de Diretório em Empresas ............................................................................. 5
3.3 – Domínios e Grupos de Trabalho (Workgroup) ............................................................... 7
3.3.1 – Funcionamento de uma Rede baseada no modelo Workgroup............................... 7
3.4 - Funcionamento de uma rede baseada no Conceito de Diretório – Domínio ................... 8
3.5 – Árvores de Domínio e Unidades Organizacionais .......................................................... 8
3.6 – Active Directory .......................................................................................................... 10
3.7 – Árvore de Domínio ..................................................................................................... 11
3.8 – Unidades Organizacionais ........................................................................................... 12
3.9 – Contas de Usuários, Computadores e Grupos de Usuários .......................................... 12
3.9.1 - Contas de Usuários ............................................................................................... 12
3.9.2 – Grupos de Usuários .............................................................................................. 13
3.10 Instalação do AD.......................................................................................................... 14
3.10.1 - Instalando o Active Directory .............................................................................. 15
3.10.2 - Serviço de DNS do Windows Server 2008 R2 ....................................................... 25
3.11 – Exercícios – Prática ................................................................................................... 31
3.11.1 – Utilizando a sua máquina virtual com o Windows Server 2008, desenvolva: ....... 31
Laboratório de Desenvolvimento III Fabio Brussolo
2
3.0 - Objetivo desta aula Nesta aula será apresentado uma visão geral sobre o Active Directory, sendo
demonstrado o conceito de Diretório, Domínios e Workgroups.
3.1 Introdução
O Active Directory foi, sem dúvidas, a grande novidade do Windows 2000
Server em relação ao Windows NT Server 4.0. No Windows Server 2008 o Active
Directory também é o elemento central, fundamental, sobre o qual é planejada e im-
plementada uma infra-estrutura de rede. O Active Directory fornece os meios para
gerenciar identidades e relacionamentos que compõem a rede da organização. Inte-
grado ao Windows Server 2008 R2, o Active Directory fornece a funcionalidade ime-diata necessária para configurar e administrar centralmente os parâmetros do siste-ma, de usuários e aplicativos.
3.2 Conceito de Diretório
Diretórios por si só não são difíceis de serem compreendidos. Uma estrutura
organizada em diretórios tem por finalidade facilitar a busca de informações armaze-
nadas na mesma. Sua existência é fundamentada na necessidade da indicação de direções.
Imagine que você precise pesquisar uma palavra no dicionário, primeiro você
pega o dicionário procura a letra inicial da palavra desejada e depois procura a pala-
vra que se deseja encontrar, sendo que cada uma dessas etapas tem relação de dependência e são organizadas de forma hierárquica.
Eles possuem o mesmo princípio de orientação do dicionário e são organiza-
dos de forma hierárquica onde um principal, chamado de raiz, é a base para todos
os demais. Os diretórios pertencentes a tal podem conter outros que por sua vez
podem conter outros e assim sucessivamente formando uma hierarquia onde a or-ganização da mesma recebe o nome de árvore.
Esta estrutura guia o usuário para facilitar a procura de uma informação, pas-sando desde a raiz, depois pelos diretórios subjacentes até se chegar à informação desejada.
Laboratório de Desenvolvimento III Fabio Brussolo
3
Sua organização deve ser de uma forma lógica e coerente, para que suas di-
reções sempre estejam corretas. Imagine agora que você está procurando uma pa-
lavra no dicionário que comece com a letra “A”, mas a palavra foi colocada entre as de letra “B”, isso geraria uma dor de cabeça terrível, afinal ao invés de ajudar a dire-ção estaria atrapalhando, contrariando o princípio de sua existência.
3.2.1 Aplicações de Diretórios no mundo da Informática Trigo (2007, p. 18), define Diretório como sendo “um serviço de armazena-
mento hierárquico de informações com o objetivo principal de facilitar a pesquisa e a
recuperação dessas informações”. Por sua vez, Tuttle (2003, doc. eletrônico) des-
creve o diretório como “uma lista de informações sobre objetos organizados ou cata-logados em uma ordem, e que fornece o acesso aos dados dos objetos”.
Na informática tudo o que precisa de organização utiliza o princípio de diretó-
rios: sistemas de arquivos, protocolos de transferência de arquivos, sistemas de ar-
mazenamento WEB, banco de dados e até mesmo o editor de registro do MS-
Windows. Ou seja, seu conceito é usado por tudo que precise de organização, mas apesar de ser organizado em forma de diretórios, o serviço usado não é necessari-
amente um serviço de diretório, podendo vir a usufruir da utilização de um.
O serviço de diretório é responsável por prover o armazenamento, a organi-
zação das informações durante a escrita e o armazenamento, para futuro resgate
por terceiros. É uma ferramenta a mais que pode ser usada para complementar à
utilização de outros serviços facilitando manutenção, a busca e localização de dados
por usuários e aplicativos, onde todos os serviços compartilham o mesmo servidor
de diretório e a mesma árvore de informações.
A utilização de um serviço de diretório se justifica no âmbito de redes de com-
putadores, sendo ela de pequeno, médio ou grande porte, pois ao utilizar um servi-
dor de diretórios, os dados atualizados ficarão disponíveis a todos os serviços da rede, facilitando e muito a vida dos administradores, através da utilização do concei-
to denominado centralização de informações.
Com a centralização ficará muito mais fácil a manutenção dos dados, tal co-mo a disponibilização de novas informações na rede. Imagine uma empresa onde
existem dez máquinas e todas elas devem manter dados de clientes atualizados em
Laboratório de Desenvolvimento III Fabio Brussolo
4
diversos aplicativos. Caso não utilizem um serviço de diretório, a manutenção destes
teria que ser feita na base de dados de cada aplicativo onde seria difícil dar a garan-tia de que os dados, em todos eles, ficariam 100% sincronizados.
O serviço de diretório é aquele que armazena informações de forma hierár-
quica, obedecendo aos critérios que regem seu princípio de organização, possibili-
tando buscas e consultas, podendo ser ou não distribuídos, disponibilizando suas informações para auxiliar outros serviços, protocolos e aplicativos.
Quando se fala em diretórios distribuídos, isto significa que se irá trabalhar
com mais de um servidor de diretórios. Uma árvore de diretórios é considerada dis-tribuída quando ela está armazenada em dois ou mais servidores. Apesar da árvore
estar fisicamente separada, a pesquisa continua centralizada e todos os dados per-
tencem à mesma árvore, sendo que em cada servidor há referências para os nós da
rede em que estão os demais servidores, de forma que logicamente a árvore de di-retórios seja uma só.
Uma busca pode ser realizada através do princípio da árvore (raiz) ou a partir
de um nó, indicado pelo usuário, que esteja mais próximo da informação desejada,
sendo que no segundo caso a resposta será mais rápida. No caso de diretórios dis-
tribuídos, a pesquisa será realizada primeiro no servidor raiz e depois passa pelos
demais. Caso seja estipulado pelo usuário um servidor específico para se iniciar a
pesquisa, a resposta será consideravelmente mais rápida, pois ao invés de pesqui-
sar em todos os servidores, a pesquisa será feita a partir de um ponto específico da árvore.
Já no caso dos diretórios distribuídos que utilizem meios externos, como a in-
ternet, a pesquisa será feita inicialmente no servidor ou servidores locais. Se a in-
formação não for encontrada o servidor local redirecionará a busca para os servido-
res externos, tendo um tempo de resposta consideravelmente mais lento, já que a banda da internet é muito menor que a de uma rede local. Claro que em todos os
casos citados acima, para que as buscas ocorram da forma esperada é inevitável
que os servidores de diretórios sejam previamente configurados de forma correta pelo técnico responsável ou o administrador da rede.
Laboratório de Desenvolvimento III Fabio Brussolo
5
3.2.2 Prática de Diretório em Empresas Em uma empresa, normalmente o usuário para realizar o seu trabalho diário,
tem que acessar aplicações e serviços em diferentes plataformas e modelos, o que implica um login e senha diferente, para cada um dos sistemas acessados:
No Mainframe: alguns sistemas da empresa (muitas vezes a maioria dos sis-
temas) ainda estão no Mainframe, com acesso através de aplicativos emula-
dores de Terminal, instalados na estação de trabalho do usuário. Estes apli-cativos mantêm a interface a caractere, típica da época do Mainframe. A tão
famosa telinha preta com letras verdes. Por exemplo, pode ser que o sistema
de banco ou de uma rede de supermercados (fazendo controle de vendas, contas, saldos, etc.) ainda esteja no Mainframe.
Em aplicações Cliente/Servidor de 2 camadas: à medida que houve uma mi-
gração do Mainframe em direção ao cliente/servidor, muitas aplicações do
Mainframe foram substituídas por aplicações Cliente/Servidor tradicionais. Por
exemplo, podemos ter uma situação onde o sistema de banco de dados de vendas foi migrado do Mainframe para uma aplicação cliente/servidor. Os da-
dos estão em um ou mais servidores da rede e a aplicação cliente é instalada
na estação de trabalho do usuário.
Sistema de e-mail e intranet da empresa: é praticamente impossível que a
sua empresa não tenha um sistema de e-mail instalado. Com isso você utiliza mais um aplicativo (o cliente de e-mail) para acessar o seu correio eletrônico.
Você também utiliza o navegador para acessar a intranet da empresa. Se a
sua empresa Já evolui bastante no uso da Tecnologia da Informação, é pro-
vável que você use o navegador para acessar o Portal Corporativo da empre-
sa. E aqui temos mais um diretório, com mais um cadastro de usuários, pro-vavelmente não integrado com os demais diretórios da empresa, o que impli-
ca em mais um login e senha parti o usuário memorizar. Como tudo na vida
tem o lado bom e o lado ruim, o lado bom disso tudo é que o usuário vai trei-nando a sua memória.
Neste cenário descrito anteriormente, onde o usuário tem que acessar siste-mas em diferentes ambientes, é necessário um login e senha para cada ambiente.
Por exemplo, no sistema de grande porte, o login pode ser a matrícula do funcioná-
Laboratório de Desenvolvimento III Fabio Brussolo
6
rio e uma senha por ele escolhida. Na rede, o login é a primeira parte do seu e-mail,
por exemplo foliveira e, uma senha por ele escolhida. No sistema de e-mail, mais
uma senha. Em cada aplicação Cliente/Servidor, mais uma senha e assim por dian-te. Para piorar um pouco a situação, a senha do Mainframe expira, por exemplo, a
cada 30 dias e ele não pode repetir as últimas cinco senhas. A senha da rede expira
a cada 60 dias e ele não pode repetir as últimas treze senhas. A do e-mail expira a
cada 45 dias e ele não pode repetir as últimas 10. A do sistema xyz expira a cada 40 dias e ele não pode repetir as últimas 6.
Observe que em cada ambiente existe um banco de dados para cadastro do
nome do usuário, senha e outras informações, como por exemplo, senão, matrícula
e assim por diante. Este banco de dados com informações sobre os usuários da re-
de é um exemplo típico de Diretório. Então no Mainframe, onde existe um cadastro de usuários, senhas e perfil de acesso de cada usuário, existe um Direrório. Na re-
de, onde existe um cadastro de usuários, senha, nome, senão, matrícula, etc., temos
mais um diretório. No sistema de e-mail, onde está cadastrado o e-mail do usuário,
senha, grupos, etc., temos um terceiro diretório e assim por diante. Observe que pa-
ra cada diretório (o que implica cadastro em um determinado sistema), o usuário tem uma senha. Então um diretório nada mais é do que um cadastro, ou melhor ainda,
um banco de dados com informações sobre usuários, senhas e outros elementos
necessários ao funcionamento de um sistema, quer seja um conjunto de aplicações
no Mainframe, um grupo de servidores da rede local, o sistema de e-mail ou outro sistema qualquer.
Quando criamos um novo usuário, estamos utilizando o serviço de diretório,
estamos guardando, nomes, sobrenomes, endereços, logins, senhas, grupos, ao
qual o usuário pertence dentre outras tantas opções que podemos cadastrar, tudo
isto ficará disponível dentro de uma base de dados, esta base de dados poderá ser utilizada pelos nossos servidores para vários trabalhos. A seguir é dado três exem-plos de serviço de diretório:
Open Ldap para Sistemas Open Source;
EDirectory para Sistemas Novell;
Active Directory para Sistemas Microsoft e com suporte para todos acima ci-tados.
Laboratório de Desenvolvimento III Fabio Brussolo
7
No mercado de hoje nossos negócios precisam ter informações rápidas, de
fácil atualização, alta disponibilidade e principalmente muita segurança e o Active Directory pode nos oferecer todos estes atributos e muito mais.
3.3 – Domínios e Grupos de Trabalho (Workgroup)
Uma rede baseada no Windows Server 2008 pode ser criada utilizando-se
dois conceitos diferentes, dependendo da maneira com que os Servidores Windows
Server 2008 são configurados. Os servidores podem ser configurados para fazerem
parte de um Domínio ou de um Grupo de Trabalho, mais comumente chamado de Workgroup.
3.3.1 – Funcionamento de uma Rede baseada no modelo Workgroup Em uma rede baseada no modelo de Workgroups, cada servidor é indepen-
dente do outro, ou seja, os servidores do Workgroup não compartilham uma lista de
usuários, grupos e outras informações. Cada servidor tem a sua própria lista de usu-
ários e grupos.
Agora imagine o usuário Paulo, que está utilizando a sua estação de trabalho.
Ele tenta acessar um recurso (por exemplo, uma pasta compartilhada) no Servidor
01. Uma janela de login é exibida. Ele fornece o seu nome de usuário e senha, e o
acesso (desde que ele tenha as devidas permissões) é liberado. Agora este mesmo
usuário -- Paulo, tenta acessar um recurso no Servidor 02. Novamente uma tela de
login é exibida e ele fornece o seu nome de usuário e senha. O acesso é negado, com uma mensagem de usuário inválido. Ora, isso acontece porque o usuário Paulo
somente está cadastrado no Servidor 01; para o Servidor 02 e para o Servidor 03 é
como se o usuário Paulo não existisse (usuário inválido). Para que o usuário Paulo
possa acessar recursos dos servidores 02 e 03, o Administrador deveria criar uma conta chamada “Paulo” nestes dois servidores”.
Outro cenário, imagine que o usuário Paulo foi cadastrado pelo administrador
com a conta Paulo e senha: abcl23de. Muito bem, o administrador fez o cadastro do
usuário paulo nos três servidores da rede da empresa: Servidor 01, Servidor 02 e
Servidor 03. Agora, cerca de 30 dias depois, o usuário paulo resolveu alterar a sua
senha. Vamos supor que ele estava conectado ao Servidor 03, quando fez a altera-
ção da sua senha para: xyz123kl. Com isso, sua senha foi alterada apenas no Ser-
Laboratório de Desenvolvimento III Fabio Brussolo
8
vidor 03 e isso pode ter sido um grande erro do usuário nesse momento. O usuário
agora possui duas senhas diferentes. Será uma confusão para o usuário e um traba-lho em dobro para o Administrador.
3.4 - Funcionamento de uma rede baseada no Conceito de Diretório – Domínio
No modelo baseado em diretório, nós temos uma base de usuários única, ou
seja, todos os servidores da rede compartilham a mesma base de usuários. O que
acontece, na prática, não é que existe uma única base, armazenada em um deter-
minado servidor, e todos os demais servidores acessam esta base. Não, não é isso
o que ocorre na prática é que todos os servidores contêm uma cópia da base de in-formações do diretório.
Alterações efetuadas em um dos servidores são replicadas para os demais
servidores da rede, para que todos fiquem com uma cópia idêntica da base de da-
dos do diretório. O que caracteriza uma rede baseada em diretório é o fato de todos
os servidores terem acesso à mesma base de dados, ou seja, todos compartilham o
mesmo diretório, com as mesmas informações sobre usuários, senhas, grupos de usuários, política de segurança, etc.
3.5 – Árvores de Domínio e Unidades Organizacionais
No Windows Server 2008, o conjunto de servidores, estações de trabalho,
bem como as informações do diretório, é que formam uma unidade conhecida como
Domínio. Todos os servidores que contêm uma cópia da base de dados do Active Directory fazem parte do domínio. As estações de trabalho podem ser configuradas
para fazer parte do domínio. Cada estação de trabalho que faz parte do domínio tem
uma conta de computador criada no domínio. A conta de computador tem o mesmo
nome do computador. Por exemplo, a estação de trabalho micro-001 tem uma conta de computador na base de dados do Active Directory com o nome de micro-001.
Um domínio pode também ser definido como um limite administrativo e de se-
gurança. Ele é um limite administrativo, pois as contas de Administrador têm permis-
sões de acesso em todos os recursos do domínio, mas não em recursos de outros
domínios. Ele é um limite de segurança porque cada domínio tem definições de polí-
ticas de segurança que se aplicam às contas de usuários e demais recursos dentro
de domínio e não a outros domínios. Ou seja, diferentes domínios podem ter diferen-
Laboratório de Desenvolvimento III Fabio Brussolo
9
tes políticas e configurações de segurança. Por exemplo, no domínio A, um usuário
pode ter uma política de segurança que define um tamanho mínimo de senha com 8
caracteres. Esta política será válida para todas as contas de usuário do domínio A. Um segundo domínio B pode ter uma política de segurança diferente, a qual define
um tamanho mínimo de senha de 12 caracteres. Esta política será válida para todas
as contas de usuários do domínio B.
Um Domínio é simplesmente um agrupamento lógico de contas e recursos, os
quais compartilham políticas de segurança. As informações sobre os diversos ele-
mentos do domínio (contas de usuários, contas de computador, grupos de usuários,
políticas de segurança, etc.), estão contidas dentro do banco de dados do Active Directory.
Em um domínio baseado no Active Directory e no Windows Server 2008 é
possível ter dois tipos de servidores Windows Server 2008:
Controladores de Domínio (DC Domain Controllers)
Servidores Membro (Member Servers)
A criação de contas de usuários, grupos de usuários e outros elementos do
Active Directory, bem como alterações nas contas de usuários, nas políticas de se-
gurança e em outros elementos do Active Directory, podem ser feitas em qualquer um dos Controladores de Domínio. Uma alteração feita em um DC será automatica-
mente replicada para os demais Controladores de Domínio. Por isso se você cria
uma conta para o usuário jsilva e cadastra uma senha para este usuário, essa conta
passa a ser válida em todo o domínio, sendo que o usuário jsilva pode receber per-
missões para acessar recursos e serviços em qualquer servidor do Domínio, seja em um Controlador de Domínio ou em um Servidor Membro.
Em um Domínio, todos os Controladores de Domínio compartilham uma lista
de usuários, grupos e políticas de segurança, além de algumas outras característi-cas que falarei no tópico sobre o Active Directory. Além disso, as alterações feitas
em um dos Controladores de Domínio são automaticamente replicadas para os de-mais.
Laboratório de Desenvolvimento III Fabio Brussolo
10
Os DCs também são responsáveis por fazer a autenticação dos usuários na
rede. Por exemplo, o usuário jsilva trabalha em uma estação de trabalho com o Win-
dows. Esta estação foi configurada para fazer parte de um domínio. Quando o usuá-rio jsilva liga a estação de trabalho e o Windows é inicializado, é apresentada a tela
de logon para que ele forneça o seu nome de usuário e senha. O Windows precisa
verificar se o nome de usuário e senha está correto. O Windows tenta localizar um
DC na rede. É no DC que a verificação é feita, comparando as informações digitadas
pelo usuário com as informações da base de dados do Active Directory. Se as infor-
mações estão OK, o logon é liberado, o usuário é autenticado e a área de trabalho
do Windows é exibida. A partir deste momento, toda vez que o usuário tentar aces-
sar um recurso do domínio, será apresentada a sua autenticação (a qual é tecnica-
mente conhecida como token de acesso) para provar a identidade do usuário para a
rede. Isso evita que o usuário tenha que entrar com o seu logon e senha cada vez
que for acessar um recurso em um servidor diferente.
3.6 – Active Directory
O Active Directory é o serviço de diretórios do Windows Server 2008. Um
Serviço de Diretórios é um serviço de rede, o qual identifica todos os recursos dis-
poníveis em uma rede, mantendo informações sobre estes dispositivos (contas de
usuários, grupos, computadores, recursos, políticas de segurança, etc.) em um ban-co de dados e torna estes recursos disponíveis para usuários e aplicações.
Os recursos disponíveis através do Active Directory são organizados de uma
maneira hierárquica, através do uso de Domínios. Uma rede na qual o Active Direc-
tory está instalado pode ser formada por um ou mais Domínios. Com a utilização do
Active Directory, um usuário somente precisa estar cadastrado em um único Domí-
nio, sendo que este usuário pode receber permissões para acessar recursos em
qualquer um dos Domínios que formam a árvore de domínios da empresa.
O Active Directory utiliza o DNS (Domain Name System) como serviço de no-
meação de recursos e de resolução de nomes. Por isso, um dos pré-requisitos para
que o Active Directory possa ser instalado e funcionar perfeitamente é que o DNS
deve estar instalado e corretamente configurado. O assistente de instalação do Acti-
ve Directory é capaz de instalar e configurar o DNS, caso ele não encontre um ser-vidor DNS adequadamente configurado na rede.
Laboratório de Desenvolvimento III Fabio Brussolo
11
Todo Domínio possui as seguintes características:
Todos os objetos de uma rede (contas de usuários, grupos, impressoras, polí-
ticas de segurança, etc.) fazem parte de um único domínio. Cada domínio
somente armazena informações sobre os objetos do próprio domínio.
Cada domínio possui suas próprias políticas de segurança, ou seja, não exis-
te herança de políticas de segurança entre domínios diferentes. Se o domínio
A possui a política A e o domínio B possui a política B, isso significa que a po-
lítica A será aplicada apenas no domínio A e a política B será aplicada ape-
nas no domínio B.
3.7 – Árvore de Domínio
Quando existem diversos domínios relacionados através de relações de con-
fiança, criadas e mantidas automaticamente pelo Active Directory, temos uma Árvore
de domínios. Uma árvore nada mais é do que um agrupamento ou arranjo hierárqui-
co de um ou mais domínios do Windows Server 2008, os quais "compartilham um espaço de nome”.
Figura 3. 1 - Domínio de uma árvore compartilhando um espaço de nomes em comum
O domínio inicial é microsoft.com. Os domínios seguintes são: ve-
das.microsoft.com e suporte.microsoft.com. Quando é formada uma hierarquia de
domínios, compartilhar um espaço de nomes significa que os nomes dos objetos filho (de segundo nível, por exemplo: vendas.microsoft.com e supor-
te.microsoft.com), contêm o nome do objeto pai(microsoft.com). Por exemplo, ven-
Laboratório de Desenvolvimento III Fabio Brussolo
12
das.microsoft.com contém microsoft.com. Descendo mais ainda na hierarquia, você
pode observar que este caso continua verdadeiro. Por exemplo, o objeto filho siste-
mas.vendas.microsoft.com contém o nome do objeto Pai vendas.microsoft.com, o qual por sua vez contém o nome do seu objeto pai microsoft.com. Com isso, uma
árvore de diretórios deste tipo forma um espaço de nomes contínuo, onde o nome
do objeto filho sempre contém o nome do objeto pai.
3.8 – Unidades Organizacionais
Uma Unidade Organizacional é uma divisão que pode ser utilizada para orga-
nizar os objetos de um determinado domínio em um agrupamento lógico para efeitos
de administração. Com a utilização de Unidades Organizacionais, é possível restrin-
gir os direitos administrativos apenas a nível da Unidade Organizacional, sem que
com isso o usuário tenha poderes sobre todos os demais objetos do Domínio.
Cada domínio pode implementar a sua hierarquia de Unidades Organizacio-
nais, independentemente dos demais domínios, isto é, os diversos domínios que
formam uma árvore não precisam ter a mesma estrutura hierárquica de unidades organizacionais.
Na Figura 3.1, o domínio vendas.microsoft.com poderia ter uma estrutura hie-
rárquica de Unidades Organizacionais projetada para atender às necessidades do
domínio vendas. Essa estrutura poderia ser completamente diferente da estrutura do
domínio suporte.microsoft.com, a qual será projetada para atender às necessidades
do domínio suporte. Com isso tem-se uma flexibilidade bastante grande, de tal forma
que a árvore de domínios e a organização dos domínios em uma hierarquia de Uni-
dades Organizacionais possam atender perfeitamente às necessidades da empresa.
3.9 – Contas de Usuários, Computadores e Grupos de Usuários
3.9.1 - Contas de Usuários Uma conta de usuário é um objeto do Active Directory, o qual contém diver-
sas informações sobre o usuário, conforme descrito anteriormente. É importante sa-
lientar que a conta somente precisa ser criada uma vez, em um dos Controladores
de domínio. Uma vez criada, a conta será replicado para todos os demais DCs do domínio.
Laboratório de Desenvolvimento III Fabio Brussolo
13
Com base nas contas de usuários e grupos, o administrador pode habilitar ou
negar permissões de acesso aos recursos da rede. Por exemplo, o administrador
pode restringir o acesso a pastas e arquivos compartilhados na rede, definindo quais usuários podem ter acesso e qual o nível de acesso de cada usuário (leitura, leitura
e alteração, exclusão e assim por diante). Mais um bom motivo para que cada usuá-
rio tenha a sua própria conta e senha.
Quando for criar nomes de logon para os usuários, leve em consideração os
seguintes detalhes + Nomes de Usuários do Domínio devem ser únicos dentro do Domínio.
Podem ter no máximo 256 caracteres
Caracteres Especiais não podem ser utilizados:
Não pode ser formado somente por pontos ou espaços em branco
3.9.2 – Grupos de Usuários Um grupo de usuários é uma coleção de contas de usuários. Por exemplo,
pode-se criar um grupo chamado Contabilidade, do qual farão parte todos os usuá-rios do departamento de Contabilidade (conta do usuário).
A principal função dos grupos de usuários é facilitar a administração e a atri-
buição de permissões para acesso a recursos, tais como: pastas compartilhadas, impressoras remotas, serviços diversos, etc. Ao invés de dar permissões individual-
mente, para cada um dos usuários que necessitam acessar um determinado recur-
so, cria-se um grupo, inclui os usuários no grupo e atribui permissões para o grupo.
Para que um usuário tenha permissão ao recurso, basta incluir o usuário no grupo,
pois todos os usuários de um determinado grupo, herdam as permissões dos grupos
aos quais o usuário pertence.
Quando estiver trabalhando com grupos de usuários, considere os fatos a se-guir:
Grupos é uma coleção de contas de usuários.
Os membros de um grupo herdam as permissões atribuídas ao grupo.
Os usuários podem ser membros de vários grupos.
Grupos podem ser membros de outros grupos
Laboratório de Desenvolvimento III Fabio Brussolo
14
Contas de computadores podem ser membros de um grupo.
3.10 Instalação do AD
Quando você instala o AD DS no Windows Server 2008 você tem várias no-
vas opções de instalação, onde ambas estão disponíveis através do Active Directory
Domain Services Installation Wizard e em uma instalação unattended através da li-
nha de comando. As novas opções de instalação disponíveis são:
DNS Server: No Windows Server 2008 a instalação e configuração do DNS
Server são automáticas quando necessário. Quando você instala o DNS Ser-ver sobre o primeiro Domain Controller dentro de um novo domínio filho no
Windows Server 2008, a delegação para o novo domínio é criado automati-
camente no DNS Server.
Global Catalog Server: No Windows Server 2008 quando você está instalando
um Domain Controller você tem a opção de adicionar a função de Global Ca-
talog Server durante a instalação.
RODC: O Read-Only Domain Controller (RODC) é uma opção nova de Do-
main Controller no Windows Server 2008. O primeiro Domain Controller na floresta ou domínio não pode ser um RODC.
Um controlador de domínio só de leitura (RODC) é um novo tipo de controla-
dor de domínio do Windows Server 2008. Com um RODC, as organizações podem
facilmente implantar um controlador de domínio em locais onde a segurança física
não pode ser garantida. Um RODC hospeda partições somente para leitura dos da-
dos. Antes do lançamento do Windows Server 2008, se os usuários tinham de au-
tenticar com um controlador de domínio por uma rede WAN, não havia alternativa
real. Em muitos casos, esta não era uma solução eficiente. Delegações muitas ve-
zes não podem prestar a devida segurança física, que é necessário para um contro-lador de domínio gravável. Além disso, muitas vezes nos deparamos com redes
“Precárias” conectados a um hub site. Isto pode aumentar a quantidade de tempo
que é necessário para fazer o logon. Também pode dificultar o acesso aos recursos
da rede.
Laboratório de Desenvolvimento III Fabio Brussolo
15
3.10.1 - Instalando o Active Directory 1 – Clique em Start, Run e digite dcpromo.exe. Será carregado o Active Directory
Domain Service Installation Wizard.
Figura 3. 2 – Tela Active Directory Domain Service Installation Wizard
- Use Advanced Mode Installation - Modo de instalação avançada fornece aos
usuários experientes com mais controle sobre o processo de instalação, sem con-
fundir os usuários mais recentes com opções de configuração que podem não estar
familiarizados. Para os usuários que não selecionem o modo avançado, o assistente usa opções padrão que se aplicam a maioria das configurações.
Figura 3. 3 - Opções de Advanced Mode Installation
Laboratório de Desenvolvimento III Fabio Brussolo
16
2 - Operating System Compatibility (Figura 3.4) que é exibido um alerta sobre o novo
padrão de segurança do Windows Server 2008, o qual informa que ele poderá cau-
sar problemas em clientes Windows NT 4.0, clientes não Microsoft SMB e dispositi-vos NAS, que não suportam algoritmo de criptografia forte. Se a sua rede é micro-
soft e não tem nenhum NT ou se esta é a sua primeira instalação não se preocupe,
clique em Next.
Figura 3. 4 - Operating System Compatibility
3 - Choose a Deployment Configuration (Figura 3.5) você tem a opção de criar um
Domain Controller para uma floresta existente (Existing forest) ou criar um novo Do-
main Controller para uma nova floresta (Create a new domain in a new forest). Como
estamos criando o primeiro Domain Controller da floresta selecione a opção Create a new domain in a new forest e em seguida clique em Next.
Laboratório de Desenvolvimento III Fabio Brussolo
17
Figura 3. 5 - Choose a Deployment Configuration
Detalhe: Se você receber a mensagem a seguir, (Figura 3.6) Significa que a
conta local de Administrador não possui uma senha definida, isso pode ocorrer caso
não tenha criado uma senha no ato da instalação do sistema. Por padrão a senha deve ser complexa. Dê OK, faça a correção e clique em Next Novamente.
Figura 3. 6 - Administrador não possui uma senha definida
4- Name the Forest Root Domain (Figura 3.7) você irá definir o nome do domínio raiz
da floresta. Digite um nome FQDN (Fully Qualified Name) e em seguida clique em Next.
Laboratório de Desenvolvimento III Fabio Brussolo
18
Figura 3. 7 - Name the Forest Root Domain
Detalhe: Automaticamente o assistente de instalação do Active Directory veri-
fica se o nome FQDN e NetBIOS escolhidos já estão em uso na floresta. Estando tudo ok é dada continuidade na instalação.
5- Set Forest Functional Level (Figura 3.8) O nível funcional da floresta irá fornecer
os recursos disponíveis conforme o nível selecionado, por exemplo, se você selecio-
nar o nível funcional Windows 2000 você terá compatibilidade com Domain Control-
lers com Windows 2000, porém alguns novos recursos do Windows Server 2008 não estarão disponíveis, por isso é importante fazer essa seleção corretamente.
Os níveis de florestas disponíveis são:
Windows 2000 - Todos os recursos padrão do Active Directory para Windows
2000
Windows Server 2003 - Todos os recursos padrão do Active Directory dispo-
níveis no Windows 2000 e os adicionáis para o 2003.
Windows Server 2008 - Esse nível funcional fornece todos os recursos dispo-
níveis no nível funcional de floresta do Windows Server 2003, mas nenhum
recurso adicional. Entretanto, todos os domínios que forem adicionados sub-sequentemente à floresta funcionarão no nível funcional de floresta de domí-
nio Windows Server 2008 por padrão.
Windows Server 2008 R2 – Todas as funções disponíveis para Windows 2008
Server mais a nova função Active Directory Recicle Bin
Laboratório de Desenvolvimento III Fabio Brussolo
19
O Active Directory Recycle Bin é uma ferramenta do Windows Server 2008 R2
que proporciona a habilidade de recuperar objetos previamente excluídos sem a ne-
cessidade de parar o servidor para a restauração de um backup. Quando temos o Recycle Bin habilitado, podemos restaurar um objeto com todos os seus atributos intactos sem perca de tempo. Ativaremos essa função no decorrer do artigo.
Detalhe: Ao Definir o nível funcional da floresta para Windows Server 2008 R2 o Nivel funcional de DOMÍNIO é definido automaticamente para Windows Server
2008 R2, você poderá adicionar controladores de domínio que estejam rodando apenas o Windows Server 2008 R2.
Figura 3. 8 - Set Forest Functional Level
6 – Para esse Exemplo vamos selecionar o Windows Server 2008 R2, mas se você
tem a necessidade de selecionar 2000 / 2003 ou o 2008 ao clicar em Next será soli-citado agora o nível funcional para o Dominio “Set Domain Functional Level“.
Laboratório de Desenvolvimento III Fabio Brussolo
20
Figura 3. 9 - Set Domain Functional Level
O nível funcional do domínio irá fornecer os recursos disponíveis conforme o
nível selecionado, ao selecionar um determinado nível, uma explicação é exibida pra
o usuário na própria tela. Selecione o Nivel Funcional de Domínio de acordo com
sua necessidade e clique em Next.
7- Additional Domain Controller Options (Figura 3.10) Possibilita incluir certas op-
ções adicionais no Domain Controller. Como estamos instalando o primeiro Domain
Controller da floresta o assistente de instalação automaticamente seleciona a opção
Glogal Catalog. O assistente também seleciona o serviço de DNS Server para que
seja instalado nesse Domain Controller. Seguindo as recomendações damos conti-nuidade. Clique em Next.
Figura 3. 10 - Additional Domain Controller Options
Laboratório de Desenvolvimento III Fabio Brussolo
21
8- Se você recebeu a seguinte mensagem (Figura 3.11) é devido ao seu adaptador
de rede estar configurado com IP Dinâmico, Todos sabemos que manter 1 servidor
com IP Dinâmico não é a melhor coisa a se fazer. Configure o IP Fixo se caso ainda não o tenha feito. clique em “No, I will assign static IP addresses to all physical network adapters.”
Figura 3. 11 - Static IP addresses
Detalhe: Se você não utiliza o IPv6 deixe-o desmarcado e configure apenas o
IPv4 de acordo com sua faixa de IP’s. (Figura 3.12) Após a configuração volte ao assistente de instalação do Active Directory e clique em Next.
Figura 3. 12 - faixa de IP’s
Laboratório de Desenvolvimento III Fabio Brussolo
22
9- Será exibido um alerta informando que a delegação para o DNS Server não pode
ser criada. Essa mensagem pode ser ignorada, porque o serviço de DNS Server
ainda não está instalado e configurado no Domain Controller. Isso será efetuado au-tomaticamente pelo assistente de instalação do Active Directory. Clique no botão Yes (Figura 3.13)
Figura 3. 13 - assistente de instalação do Active Directory
10-Location for Database, Log Files, and SYSVOL (Figura 3.14) Neste passo vamos
definir onde será armazenado o database, os arquivos de log e a pasta SYSVOL, se você possui apenas uma partição deixe o caminho padrão e clique em Next.
Detalhe: Para uma melhor performance e fácil recuperação do Active Directory é recomendável armazenar o database e os arquivos de logs e volumes separados.
Figura 3. 14 - SYSVOL
Laboratório de Desenvolvimento III Fabio Brussolo
23
11 – Directory Services Restore Mode Administrator (Figura 3.15). Defina uma senha
que será usada no “Restore Mode” deste DC. Novamente a senha deve ser Com-plexa.
Figura 3. 15 - Directory Services Restore Mode Administrator
12 - Summary (Figura 2.4) Aqui encontramos um resumo e conferimos as configura-
ções definidas antes de iniciar a instalação, Você também tem a opção de exportar
as configurações para serem utilizadas em uma futura instalação, sendo necessário
somente clicar no botão Export settings e definir o local a ser salvo. Clique em Next para iniciar a Instalação e aguarde.
Figura 3. 16 - Sumário
Laboratório de Desenvolvimento III Fabio Brussolo
24
Figura 3. 17 - Tela final
- Active Directory Users and Computers: Para abrir o Console Active Directory Users
and Computers clicar em Start, Administrative Tools e depois em Active Directory Users and Computers.
Figura 3. 18 - Tela Active Directory
Certificate Service DCOM Access, Cryptographic Operators, Event Log Rea-
ders, IIS_IUSRS E no container Users foram criados outros 4 novos grupos, os quais
serão utilizados somente quando você instalar um Domain Controller no modo RODC (Read-Only Domain Controller). (Figura 3.19)
Allowed RODC Password Replication Group
Laboratório de Desenvolvimento III Fabio Brussolo
25
Denied RODC Password Replication Group
Enterprise Read-only Domain Controllers
Read-only Domain Controllers
3.10.2 - Serviço de DNS do Windows Server 2008 R2 DNS (Domain Name System) é um sistema que é utilizado em redes TCP / IP
para nomear computadores e serviços de rede que é organizado em uma hierarquia de domínios. Quando um usuário digita um nome DNS em um aplicativo, serviços de
DNS pode resolver o nome para outras informações que está associado ao nome, como um endereço IP.
Windows Server 2008 fornece uma série de melhorias no serviço de servidor
de DNS que melhoram o desempenho do DNS. Inicie o console DNS seguindo a Figura 3.19.
Figura 3. 19 - Iniciando o DNS
Verificar por segurança se as zonas do DNS foram criadas corretamente.
Após abrir o Console DNS, verifique se as seguintes Zonas de pesquisas diretas
Laboratório de Desenvolvimento III Fabio Brussolo
26
(Foward Lookup Zones) foram criadas. (Figura 3.20) Clicando em
_msfcs.“seu.dominio” deve ser exibido algo semelhante à imagem.
Figura 3. 20 - Console de DNS
E clicando em “seu.dominio” algo semelhante.
DNS Reverso
O tipo de resolução de nomes mais utilizada é a direta. Nesse tipo de resolu-
ção de nome, o cliente possui o nome DNS e precisa localizar o endereço IP associ-
ado em esse nome. O DNS também suporta o inverso, ou seja, dado um endereço
IP, consegue localizar o nome DNS. As zonas reversas são responsáveis por esse tipo de resolução de nomes.
Inicialmente, o servidor DNS foi projetado para dar suporte somente a resolu-
ção de nomes direta, e a única forma de realizar a resolução de nomes inversa seria
consultando todos os servidores DNS existentes. Com isso, o tempo da resolução seria extremamente longo.
Laboratório de Desenvolvimento III Fabio Brussolo
27
Para resolver esse problema, foi o criado o domínio especial in-addr.arpa. Es-
se domínio faz parte das definições atuais do DNS e foi a maneira encontrada para fornecer a resolução reversa de nomes.
Para criar o espaço de nomes reverso, são criados subdomínios do domínio
in-addr.arpa. O nome destes subdomínios é formado pela ordem inversa do número
IP da rede. Por exemplo, a zona para resolução reversa da rede 100.20.50.0 seria 50.20.100.in-addr.arpa.
Os números da rede estão de trás pra frente, pois a resolução é feita de trás
pra frente.
Figura 3. 21 - Selecionando o Dominio criado
criar a Zona de pesquisa inversa (Reverse Lookup Zones) Clicando com o botão di-reito sobre e selecionando “New Zone…”
Laboratório de Desenvolvimento III Fabio Brussolo
28
Figura 3. 22 - Criando DNS Reverso
O Assistente para configuração de Nova Zona será iniciado. Clique em Next
Figura 3. 23 - Tela inicial
- Zone Type Agora vamos escolher o tipo de Zona, neste caso “Primary Zone” e cli-camos em Next.
Laboratório de Desenvolvimento III Fabio Brussolo
29
Figura 3. 24 - criando Primary Zone
- Active Directory Zone Replication Scope Neste passo vamos selecionar o tipo de
escopo para replicação das zonas no AD. Deixar da forma que está e clicamos em
Next. Dessa forma será replicado para todos os servidores DNS dos DC’s do mesmo domínio.
Figura 3. 25 - Escopo para replicação das zonas no AD
- Reverse Lookup Zone Name. Vamos escolher se desejamos criar uma Zona Inver-
sa para IPv4 ou IPv6 . Neste exemplo usaremos o IPv4. Clique em Next.
Laboratório de Desenvolvimento III Fabio Brussolo
30
- Network ID Identificação da Rede. Informe a identificação de sua rede
Figura 3. 26 - Selecionando o endereço da rede
- Dynamic Update As Atualizações Dinâmicas permitem que computadores clientes
registrem e atualizem dinamicamente seus registros de recursos com um servidor
DNS sempre que ocorrerem alterações. É altamente recomendado que você deixe marcado “Permitir somente atualizações dinâmicas seguras” “Allow only secure Dynamic updates”.
Figura 3. 27 - Dynamic Update
Laboratório de Desenvolvimento III Fabio Brussolo
31
- Completing The New Zone Wizard Um breve resumo das configurações é apresen-
tado. Clique em Finish para finalizar e verifiquem a nova zona criada.
Figura 3. 28 - Tela final do Wizard
3.11 – Exercícios – Prática
3.11.1 – Utilizando a sua máquina virtual com o Windows Server 2008, desen-volva: a) A infra-estrutura comum está baseada na organização fictícia Contoso. A Contoso
é dona do nome DNS contoso.com, o qual foi configurado com o Assistente de Insta-
lação do Active directory. O Assistente de Instalação está na seção anterior. A figura
3.29 ilustra o exemplo de estrutura do Active Directory.
Laboratório de Desenvolvimento III Fabio Brussolo
32
Os aspectos mais inte-
ressantes desta estrutura
são o Domínio (conto-so.com); as Contas, a
Matriz, a Produção, o
Marketing, os Grupos, os
Recursos, os Desktops,
os Laptops, e as unida-
des organizacionais. Es-
tes aspectos são repre-
sentados através das
pastas na Figura 3.29. As
OUs existem para a delegação da administração e para a aplicação da Política de Grupo – não apenas para refletir a organização de uma empresa.
b) Crie um DNS Reverso.
c) Coloque a Máquina do Windows no Domínio.
Figura 3. 29 - Estrutura do Active directory