centralização das informações com o active...
TRANSCRIPT
Centralização das Informações com o Active Directory
Alfredo Menezes Vieira1
RESUMO Este estudo analisa a redundância de dados devido à descentralização de base de dados e a falta de integração entre sistemas responsáveis pelos diversos problemas detectados em empresas onde a Tecnologia da Informação é de vital importância. A resolução desse problema é a implantação de novas tecnologias, cujas principais características são a centralização da informação e integração entre sistemas, por isso apresenta os conceitos do Windows Server 2008 R2 com o Active Directory.O trabalho é ilustrado com o estudo de caso da Fundação José Augusto Vieira (FJAV), relatando o antes e após a implantação do Active Directory, utilizando o Windows Server 2008 R2 –Microsoft e ressaltando a sua importância e eficácia na solução dos problemas supracitados visando atender as necessidades da Instituição como Centro Universitário. Palavras-Chave: Active Directory, Windows Server 2008 R2, Microsoft, Disponibilidade, Centralização, Segurança, Serviços de Diretórios. ABSTRACT
This study analysis the redundancy of data caused by the database decentralization and the lack of integration among the systems responsible for several problems that were detected in companies where Information Technology is very important. The solution to this problem is the introduction of new technologies that have as their main characteristics the centralization of information and the integration of systems, for this reason this study presents the concepts from Windows Server 2008 R2 and the Active Directory. This essay is based on the study of the case of ‘Fundação José Augusto Vieira – FJAV’ (José Augusto Vieira Foundation), it presents the pre-and-post-implantation of Active Directory, using the Windows Server 2008 R2 – Microsoft and it focuses on the importance and efficacy of this system on the solutions of the problems that were detected and its main purpose is to attend the needs of a foundation that has a university. Keywords: Active Directory, Windows Server 2008 R2, Microsoft, availability, Centralization, Security, Directory Services.
1 Especialista em Sistema de Informação
Universidade Federal de Sergipe Bacharel em Ciências da Computação Universidade Nove de Julho E-mail: [email protected]
1. INTRODUÇÃO
"As tecnologias de informação e de negócios estão se tornando inevitavelmente
uma coisa só. Não creio que alguém possa falar sobre um sem falar sobre o outro." (Bill
Gates)
Com o grande avanço tecnológico na área da Tecnologia da Informação (TI), tanto
interno como também as externas, nas empresas de diferentes segmentos tende a
encontrar novas soluções a fim de garantir que as informações enviadas quanto às
recebidas, sejam de forma segura e veloz.
Em virtude disto é necessário a agilidade, eficiência e segurança nos processos e
nas informações que trafegam em suas redes coorporativas, que devem estar disponível
sempre o mais rápido possível. Diante disto, é imprescindível que a área de Tecnologia
da Informação (TI) proporcione novas soluções que representem a otimização dos
processos e na confiabilidade das informações para tomadas de decisões.
Nos dias atuais as empresas estão mais competitivas, sendo assim a informação
sendo como um dos principais fatores para o sucesso no mundo dos negócios. O
departamento de TI tem grande responsabilidade em manter estas informações seguras e
confiáveis, ou seja, se mantendo sempre atualizado e inovando com novas ferramentas
ou recursos para manter a qualidade das informações.
Uma das maneiras encontradas pelos profissionais de TI é o estudo, planejamento
e implantação de recursos de informática, que assegurem velocidade e segurança das
informações que trafegam nas redes das empresas. Pois, hoje se sabe que o maior
inimigo e o vazamento das informações que se faz dentro da própria empresa por
ataques de Hackers oriundos da Internet.
Sendo assim, apresento o meu objeto de estudo de caso, a FJVA seu
departamento de TI antes e após a implantação do Windows Server 2008 R2 com o
Active Directory.
A Fundação José Augusto Vieira (FJVA), localizada em Lagarto – Sergipe,
inaugurada em 08 de outubro de 2004, faz parte do sonho dos mantenedores, com
objetivo de viabilizar o acesso e assegurar as mesmas oportunidades a jovens a uma
Faculdade próxima da região onde vivem e contribuir na formação com o mesmo nível
de excelência de outras instituições privadas e públicas do nosso Estado ( Sergipe) e o
nosso país. Por isso, a incansável luta em transformar o Ensino Superior em um centro
de pesquisa, estudo e extensão voltadas à uma visão macro e micro da sociedade
moderna ( uma compreensão maior do mundo e, em especial, da realidade nacional e
regional).
Em 2004, possuía apenas 4 cursos e atualmente possui 9 cursos superiores e 3
cursos de pós graduação, todos aprovados pelo MEC.
Estrutura da TI – antes da implantação rede o Active Directory
Diante desta nova realidade da IES, o Departamento de Tecnologia da Informação
(DTI), responsável pela infraestrutura, suporte de redes e gestão da rede de
computadores desenvolveu um projeto para implantação de um nova estrutura de TI,
utilizando o serviço de rede o Active Directory2 para parametrizar e controlar o acesso aos
recursos de informática da FJAV. O
Ressalto a importância do planejamento estratégico que envolveu todos os
setores da Instituição, viabilizando que todos os procedimentos e processos técnicos da
TI fossem implantados com eficiência e agilidade, acesso à manutenção das
informações com qualidade e segurança nas informações.
2. INFRAESTRUTURA TI
"A tecnologia digital é a arte de criar necessidades desnecessárias que se tornam
absolutamente imprescindíveis." (Joelmir Beting)
A infraestrutura de TI é um trunfo estratégico e a base fundamental sobre a qual o
software pode realizar os serviços e as aplicações de usuários que a IES precise
funcionar com eficiência e obter sucesso. Para diversas organizações, crescimento e
desenvolvimento rápidos em novas tecnologias resultam em infraestrutura de estações de
trabalho e centro de dados extremamente complexas, inflexíveis, e difíceis de gerenciar,
com custos embutidos que não apenas são altos e também de certo modo fixos.
2 Active Directory consiste o local onde ficam armazenadas informações sobre dados dos usuários, impressoras, servidores, grupo de
usuários, computadores e políticas de segurança, dentre outras. Esses elementos são conhecidos como objetos. (http://pt.wikipedia.org/wiki/Active_Directory)
Existem vários fatores que irão dizer se o nosso cenário de infraestrutura será bem
sucedida ou não, é um fator decisivo para o sucesso ou fracasso em um momento critico,
por exemplo: a implantação do parque de servidores, a gerencia na demanda do help
desk pelo pessoal de TI, o gerenciamento de serviços, enfim todo o conjunto impacta
diretamente nos negócios da instituição.
2.1. INFRAESTRUTURA BÁSICA
Se caracteriza por processos manuais e localizados; mínimo de controle central;
diretrizes e padrões inexistentes ou mal executados de TI em questões como segurança,
backup, gerenciamento, implantação e outras práticas comuns de TI.
2.2. INFRAESTRUTURA PADRONIZADA
Introduz controles através do uso de padrões e políticas para gerenciar estações
de trabalhos e servidores; para controlar a maneira como máquinas são incorporadas à
rede, e pelo serviço de diretórios Active Directory para gerenciar recursos, políticas de
segurança e controle de acesso.
2.3. INFRAESTRUTURA RACIONALIZADA
É o momento em que os custos envolvidos no gerenciamento de estações de
trabalho estão mais baixos, e os processos e diretrizes amadureceram para começar a
desempenhar um papel importante no suporte e expansão da empresa. A segurança é
bastante pró-ativa, além de rápida e controlada na resposta a ameaças e desafios.
3. ACTIVE DIRECTORY DOMAIN SERVICES
O Active Directory Domain Services (AD DS) fornece a funcionalidade de uma
solução Identity and Access – IDA (identidade de acesso) para redes corporativas. O IDA
é necessário para manter a segurança de recursos corporativos como arquivos, e-mails,
aplicativos e banco de dados. Uma infraestrutura IDA deve:
Armazenar informações sobre usuários, grupos, computadores e outras
identidades – Uma identidade é, no sentido mais amplo, uma representação de uma
entidade que realizará ações na rede corporativa. O armazenamento de identidades
é, portanto, um dos componentes de uma infraestrutura IDA. O armazenamento de
dados do Active Directory, também conhecido como diretório, é um armazenamento
de identidades. O próprio diretório é hospedado e gerenciado por um controlador de
domínio – um servidor que desempenha a função de AD DS.
Autenticar uma identidade – O servidor não concederá ao usuário acesso ao
documento ao menos que o servidor possa verificar a identidade apresentada na
solicitação de acesso como válida. Para validar a identidade, o usuário fornece
segredos conhecidos apenas pelo usuário e pela infraestrutura IDA. Esses segredos
comparados às informações no armazenamento de identidades em um processo
chamado de autenticação. Em um domínio do Active Directory, um protocolo
chamado Kerberos é utilizado para autenticar as identidades. Quando um usuário ou
computador efetua logon no domínio, o Kerberos autentica suas credenciais e emite
um pacote de informações chamado tíquete (Ticket Granting Ticket – TGT). Antes de
o usuário se conectar-se ao servidor para solicitar o documento, uma solicitação
Kerberos é enviada a um controlador de domínio junto com o TGT que identifica o
usuário autenticado. O controlador de domínio emite ao usuário outro pacote de
informações chamado tíquete de serviço, que identifica o usuário autenticado para o
servidor. O usuário apresenta o tíquete de serviço, que aceita o tíquete de serviço
como uma prova de que o usuário foi autenticado. Estas transações Kerberos
resultam em um único logon de rede. Depois que o usuário ou computador se
conectou inicialmente e recebeu um TGT, o usuário é autenticado dentro do domínio
inteiro e pode receber tíquetes de serviço que identificam o usuário para qualquer
serviço. Toda essa atividade de tíquetes é gerenciada pelos clientes e serviços
keberos incorporados no Windows, e é transparente ao usuário.
Controlar o acesso – A infraestrutura IDA é responsável por proteger
informações confidenciais como as informações armazenadas no documento. O
acesso a informações confidenciais deve ser gerenciado de acordo com as diretivas
da empresa.
Fornecer uma trilha de auditoria – Uma empresa poderia querer controlar as
modificações e atividades dentro da infraestrutura IDA, portanto ela deve fornecer
um mecanismo por meio do qual gerenciar a auditoria.
Com a versão do Windows Server 2008, a Microsoft consolidou vários
componentes anteriormente separados em uma plataforma IDA integrada. O próprio
Active Directory agora inclui cinco tecnologias, cada uma das quais pode ser
identificada com uma palavra chave que identifica o propósito da tecnologia.
Active Directory Domain Services (Identidade) – O AD DS, é projetado para
fornecer um repositório central ao gerenciamento de identidades dentro de uma
organização. O AD DS fornece serviços de autenticação e autorização em uma rede
e suporta o gerenciamento de objetos por meio da Group Policy. Fornecendo
também o gerenciamento de informações e serviços de compartilhamento,
permitindo aos usuários localizar qualquer componente. O AD DS é a principal
tecnologia do Active Directory e deve ser implantado em cada rede que executa
sistemas operacionais Windows Server 2008.
Active Directory Lightweight Directory Services (Aplicações) – É uma versão
autônoma do Active Directory, a função Active Directory Lightweight Directory
Services (AD LDS), fornece suporte a aplicativos compatíveis com diretório. É um
subconjunto do AD DS porque ambos estão baseados no mesmo código básico. O
diretório AD LDS só armazena e replica informações relacionadas a aplicativos. Ele
é comumente utilizado por aplicativos que exigem um armazenamento de diretórios,
mas não exigem que as informações sejam replicadas de uma maneira tão ampla
como, por exemplo, todos os controladores de domínio, Permite implantar um
esquema personalizado para suportar um aplicativo se modificar esquema AD DS.
Active Directory Certificate Services (Confiabilidade) – O Active Directory
Certificate Services (AD CS) tem por finalidade emitir certificado digitais como parte
de uma infraestrutura de chave pública (Public Key Infraestructure – PKI) que vincula
a identidade de uma pessoa, dispositivo ou serviço a uma chave privada
correspondente. Os certificados podem ser utilizados para autenticar usuários e
computadores, fornecer autenticação baseada na web, suportar autenticação de
cartão inteligente e suportar aplicativos, incluindo redes sem fio seguras, redes
provadas virtuais (VPN), Internet Protocol Security (IPSec), Encrypting File System
(EFS), assinaturas digitais etc.
Active Directory Rights Management Services (Integridade) – É uma
tecnologia de proteção das informações que permite implementar modelos
persistentes de diretiva de uso que definem o uso autorizado e não autorizado, seja
online, off-line, dentro ou fora do firewall, ou seja, pode configurar um modelo que
permite aos usuários ler um documento, mas não imprimir ou copiar o seu conteúdo.
Assegurando a integridade dos dados gerados, protegendo a propriedade intelectual
e controlar quem pode fazer o que com os documentos produzidos pela
organização.
Active Directory Federation Services (Parceria) – Permite que uma
organização estenda a solução IDA para múltiplas plataformas, incluindo ambientes
Windows e não Windows, e projetar identidades e direitos de acesso cruzando
limites de segurança para parceiros confiáveis. Em um ambiente federado, cada
organização mantém e gerencia suas próprias identidades, mas cada empresa pode
projetar com segurança e aceitar identidades de outras organizações.
O AD DS armazena suas identidades no diretório – um armazenamento de dados
hospedado nos controladores de domínio. O banco de dados é divido em várias partições,
incluindo o esquema, configuração, catálogo global e o contexto de nomeação de
domínios que contém os dados sobre objetos dentro de um domínio – os usuários, grupos
e computadores.
4. CONTROLADORES DE DOMÍNIO
Os controladores de domínio, também chamados DCs, são servidores que
executam a função de AD DS. Como parte dessa função, eles também executam o
serviço Kerberos Key Distribution Center (KDC), que realiza a autenticação e outros
serviços do Active Directory.
São necessários um ou mais controladores de domínio para criar um domínio no
Active Directory. Um domínio é uma unidade administrativa dentro da qual certas
capacidades e características são compartilhadas. Primeiro, todos os controladores de
domínio replicam a partição do armazenamento de dados do domínio, a qual contém
entre outras coisas os dados da identidade dos usuários do domínio, grupos e
computadores. Como todos os controladores de domínio mantêm o mesmo
armazenamento de identidades, qualquer DC pode autenticar qualquer identidade em um
domínio. Além disso, um domínio é um escopo das diretivas administrativas, como as
diretivas de complexidade de senha e bloqueio de conta. Essas diretivas configuradas em
um domínio afetam todas as contas do domínio e não afetam contas em outros domínios.
As modificações podem ser feitas nos objetos e não afetam contos em outros domínios.
As modificações podem ser feitas nos objetos no banco de dados do Active Directory por
qualquer controlador de domínio e serão replicadas a todos outros controladores de
domínio. Portanto, nas redes onde há replicação de todos os dados entre os
controladores de domínio não pode ser suportada, talvez seja necessário implementar
mais de um domínio para gerenciar a replicação dos subconjuntos de identidades.
5. FLORESTA
Uma floresta é uma coleção de um ou mais domínios do Active Directory. O
primeiro domínio instalado em uma floresta é chamado domínio raiz de floresta. Uma
floresta contém uma única definição de configuração de rede e uma única instância do
esquema de diretório. Uma floresta é uma instância única do diretório – nenhum dado é
replicado pelo Active Directory fora dos limites da floresta. Consequentemente, a floresta
define um limite de segurança.
O namespace DNS dos domínios em uma floresta cria árvores dentro da floresta.
Se um domínio for um subdomínio de outro domínio, os dois domínios serão considerados
uma árvore.
A funcionalidade disponível em um domínio ou floresta do Active Directory depende
do seu nível funcional. O nível funcional é uma configuração do AD DS que habilita
recursos avançados do AD DS por todo domínio ou por toda a floresta. Há três níveis
funcionais de domínio: nativo do Windows 2000, Windows Server 2003 e Windows Server
2008; e dois níveis funcionais de floresta: Windows Server 2003 e Windows Server 2008.
À medida que elevada o nível funcional do domínio ou floresta, os recursos fornecidos
pela versão do Windows envolvida tornam-se disponíveis para o AD DS.
6. CONTÊINERES DO AD
O Active Directory é um banco de dados hierárquico. Os objetos no
armazenamento de dados podem ser agrupados em contêineres. Um tipo de contêiner é
a classe do objeto chamada container. Os contêineres padrão, incluindo Users,
Computers e Buliltin são mostrados quando o snap-in Active Directory Users and
Computers é aberto. Outro tipo de contêiner é uma unidade organizacional
(Organizational Unit – OU). As OUs, além de fornecer um contêiner para objetos, também
fornecem um escopo com o qual gerenciar objetos. Isso ocorre porque as OUs podem ter
objetos chamados Group Policy Objects (GPOs) vinculados a eles. As GPOs podem
conter definições de configurações que serão então aplicadas automaticamente pelos
usuários ou computadores em um OU.
Os sites no Active Directory têm um significado bem específico, porque há uma
classe de objetos específica chamada site. Um site do Active Directory é um objeto que
representa uma parte da empresa dentro da qual conectividade de rede é boa. Um site
define um limite de uso de replicação e serviços. Controladores de domínio dentro de um
site replicam as modificações em questão de segundos. As modificações replicadas entre
sites são lentas, caras ou inseguras comparadas às conexões dentro de um site. Além
disso, os clientes preferirão utilizar serviços distribuídos fornecidos pelos servidores nos
seus sites ou no site mais próximo.
7. FERRAMENTAS ADMINISTRATIVAS DO AD OU SNAP-INS
As ferramentas administrativas do Active Directory, ou snap-ins, exibem as
funcionalidades de que o administrador necessita para suportar o serviço de diretório.
A maior parte da administração do Active Directory é executada com estes snap-ins
e consoles:
Active Directory Users and Computers – Gerencia os recursos cotidianos
mais comuns, incluído usuários, grupos, computadores, impressoras e pastas
compartilhadas. Esse provavelmente será o snap-in mais intensamente utilizado por
um administrador do Active Directory.
Active Directory Sites Services – Gerencia replicação, topologia da rede e
serviços relacionados.
Active Directory Domasins and Trusts – Configura e mantém relações de
confiança e os níveis funcionais do domínio e da floresta.
Active Directory Schema – Examina e modifica a configuração dos atributos
e das classes de objeto do Active Directory. Esse esquema é a “planta” do Active
Directory. Raramente ele é exibido, e ainda mais raramente é alterado. Em razão
disso, o snap-in Active Directory Schema não é instalado por padrão.
Na maioria das organizações, há mais de um administrador de sistemas, e, à
medida que as organizações crescem, as tarefas administrativas muitas vezes são
distribuídas a vários administradores ou organizações de suporte. Em muitas
organizações, o help desk é capaz de redefinir senhas de usuários e desbloquear contas
dos usuários que estavam bloqueadas. Essa capacidade do help desk é uma tarefa
administrativa delegada. Normalmente, o help desk não pode criar novas contas de
usuário, mas ele pode fazer modificações específicas na contas de usuários existentes.
Todos os objetos do Active Directory, como os usuários, computadores e grupos,
podem ser mantidos seguros utilizando-se uma lista de permissões, de forma que o
administrador pode atribuir ao help desk a permissão de definir as nos objetos usuários.
As permissões em um objeto são chamadas entradas de controle de acesso (access
contropl list – ACL) e elas são atribuídas a usuários, grupos ou computadores (chamados
entidades de segurança). As ACLs são salvas na lista de controle de acesso
discricionário(discretionary access cintrol dist – DACL) do objeto. A DACL é uma parte da
ACL do objeto, que também contém a lista de controle de acesso do sistema (system
acess control list – SACL) que inclui configurações de auditoria.
A delegação do controle administrativo, também denominada delegação de
controle, ou delegação, simplesmente significa atribuir permissão que gerenciam o acesso
a objetos e propriedades no Active Directory. Assim como administrador pode atribuir um
grupo a capacidade de modificar os arquivos em uma pasta, permitindo a um grupo a
capacidade de redefinir as senhas nos objetos usuários.
Grupos são entidades de segurança com identificador de segurança (SID) que, por
meio do seu atributo member, coleta outras entidades de segurança (usuários,
computadores, contatos e outros grupos) para facilitar o gerenciamento.
Há dois tipos de grupos: segurança e distribuição. Quando criado um grupo, o
administrador faz a seleção do tipo do grupo.
Grupos de distribuição são utilizados principalmente por aplicativos de email. Esses
grupos não tem segurança habilitada: eles não têm SIDs, portanto eles não podem
receber permissões aos recursos. Enviar uma mensagem a um grupo de distribuição
distribui a mensagem a todos os membros do grupo.
Os grupos de segurança são entidades de segurança com SIDs. Esses grupos,
portanto, podem ser utilizados com entradas de permissões nas ACLs para controlar a
segurança do acesso aos recursos. Grupos de segurança também podem ser utilizados
como grupos de distribuição por aplicativos de email. Se um grupo for utilizado para
gerenciar a segurança, ele deverá ser um grupo de segurança.
Como os grupos de segurança podem ser utilizados tanto para acesso e recursos
como para distribuição de email, muitas organizações só usam grupos de segurança. Mas
é recomendável que, se um grupo for utilizado apenas para a distribuição de e-mails, ele
seja criado como um grupo de distribuição. Caso contrário, o grupo recebe um SID, e o
SID é adicionado ao token de acesso de segurança do usuário, o que pode levar a um
número excessivo de tokens desnecessários.
Os grupos têm membros: usuários, computadores e outros grupos. Os grupos
podem ser membros de outros grupos, e os grupos podem ser referidos pelas ACLs, filtro
de objeto de diretiva de grupo (group policy object – GPO) e outros componentes de
gerenciamento. O escopo do grupo afeta cada uma destas características de um grupo: o
que ele pode conter, a que ele pode pertencer e onde pode ser utilizado. Há quatro
escopos de grupos: global, local de domínio, local e universal.
Os grupos locais são realmente locais – definidos em e disponíveis a um único
computador. Os grupos locais são criados no banco de dados SAM (Secrutry Accounts
Manager) de um computador membro do domínio. As estações de trabalho e os
servidores tem grupos locais. Em um grupo de trabalho, os grupos locais servem, para
gerenciar a segurança dos recursos do sistema. Em um domínio, porém, gerenciar os
grupos locas dos computadores individuais torna-se trabalhoso e é, na maioria das vezes
desnecessários.
Os grupos locais de domínio são especialmente utilizados para gerenciar
permissões a recursos. Por exemplo, o grupo ACL_Sales e Folder_Read.
Grupos globais são essencialmente utilizados para definir coleções de objetos de
domínio baseados nas funções de negócio.
Grupos universais são úteis nas florestas de múltiplos domínios. Eles permitem
definir funções ou gerenciar recursos que abrangem mais de um domínio.
A tabela abaixo resume os objetos que podem ser membro no escopo de cada
grupo.
Escopo do grupo Membro do mesmo
domínio
Membros de outro
domínio na mesma
floresta
Membros de um
domínio externo
confiável
Local Usuários
Computadores
Grupos Globais
Grupos Universais
Grupos locais de
domínio
Usuários locais
definidos no mesmo
computador que o do
grupo local
Usuários
Computadores
Grupos Globais
Grupos Universais
Usuários
Computadores
Grupos Globais
Local de Domínio Usuários
Computadores
Grupos Globais
Grupos locias de
domínio
Grupos Universais
Usuários
Computadores
Grupos Globais
Grupos Universais
Usuários
Computadores
Grupos Globais
Universal Usuários
Computadores
Grupos Globais
Grupos Universais
Usuários
Computadores
Grupos Globais
Grupos Universais
N/D
Global Usuários
Computadores
Grupos Globais
N/D N/D
TABELA 1 – ESCOPO DO GRUPO
Computadores em um domínio são entidades de segurança, assim como os
usuários. Eles têm uma conta com um nome de login e uma senha que o Microsoft
Windows altera automaticamente mais ou menos a cada 30 dias. Eles se autenticam no
domínio. Computadores pertencem a grupos, ter acesso a recursos a ser configurados
pela Group Policy (Diretiva de Grupo). E como os usuários, os computadores às vezes
perdem suas senhas, requerendo uma redefinição, ou têm contas que precisam ser
desabilitadas ou habilitadas.
Gerenciar computadores – tanto os objetos no Active Directory Domain Services
(AD DS) como dispositivos físicos – é parte do trabalho cotidiano da maioria dos
profissionais de TI. Novos sistemas são adicionados à empresa, computadores são
colocados offine para reparos, computadores são trocados entre usuários ou funções, e
equipamentos antigos são atualizados por outros. Cada uma dessas atividades exige
gerenciar a identidade do computador representado pelo seu objeto, ou conta, e o Active
Directory.
Em ambiente gerenciado por uma infraestrutura de diretiva de grupo bem
implementada, muito pouca ou nenhuma configuração será feita utilizando-se um desktop
diretamente. Toda a configuração é definida, imposta e atualizada utilizando-se
especificações nos objetos diretiva de grupo (GPOs) que afetam uma parte da empresa
tão ampla quanto um site ou domínio inteiro, ou tão restrita quanto a uma única unidade
organizacional (OU) ou grupo.
8. ESTUDO DE CASO
Junto com a própria nova infra-estrutura de estações de trabalho, a FJAV precisava
das ferramentas para melhor gerenciar e dar suporte àquele novo ambiente, incluindo
uma solução para a implantação centralizada de novos softwares e de atualizações de
software.
No passado, a FJAV usava um grande número de ferramentas e processos,
nenhum dos quais oferecia os níveis de confiabilidade, escalabilidade e integração
necessária para suportar um ambiente maior. Precisava de um suporte que garantisse o
gerenciamento das estações de trabalho e que o serviço do Active Directory (do qual
todas as estações de trabalho de usuários dependeriam) se mantivesse em
funcionamento contínuo. Assim como, o AD DS (serviço pelo qual os usuários se
autenticam) precisava adotar uma postura de respeito e ser monitorado e gerenciado.
8.1. SOLUÇÃO
Para suportar melhor seu ambiente de Estação de Trabalho Windows , a FJAV
optou pelo Windows Server 2008 R2 para gerenciamento de estações de trabalho e
monitoramento de servidores.
Nos três primeiros bimestres de 2011 a equipe do DTI estudou e projetou a nova
infra-estrutura de implantação do projeto, onde percebeu-se a necessidade da instalação
de dois novos servidores para a utilização do Active Directory, nativo do sistema
operacional Windows Server 2008 R2.
8.2. ESTRUTURA ANALÍTICA DO PROJETO
Este projeto tem como objetivo a implementação do Active Directory na FJAV,
otimizando a autenticação centralizada aos diversos sistemas e serviços providos. Assim,
segue o planejamento das atividades como:
Verificar infraestrutura de servidores e capacidade de integração.
o Verificar compatibilidade de Sistema Operacional do servidor;
o Verificar compatibilidade do Sistema Operacional das estações
de trabalho com o Active Directory.
Instalar e configurar o Windows Server 2008 R2
o Instalar o Active Directory;
o Configurar o Active Directory;
o Popular base de dados do Active Directory com os grupos e
usuários de rede da empresa.
Integrar autenticação dos diversos serviços e sistemas
Testar e homologar a solução proposta
o Testar configurações do Active Directory;
o Testar autenticação das estações de trabalho através de
contas criadas no AD.
8.3. NOMENCLATURA DAS CONTAS DE MÁQUINA
Para definição da nomenclatura das máquinas foi utilizado um padrão que identifica
a unidade e também a lotação dentro desta.
O modelo é T-FJAV-LLL-99, onde:
T é uma variável e onde demonstra o tipo da máquina, ou seja, D para
desktop, SF para servidores físicos, SV para servidores virtuais, P para impressoras;
FJAV é abreviatura de Faculdade José Augusto Vieira;
LLL é a abreviação do nome do local onde o disponível se encontra;
99 é um número inteiro que identifica o equipamento.
O nome completo da máquina deve ser único. A complexidade da
nomenclatura existe exatamente para evitar a duplicação de nomes, o que ocasionaria
problemas com o AD.
8.4. NOMENCLATURA DAS CONTAS DE USUÁRIO
A definição da nomenclatura dos usuários foi um dos raros casos em que a ideia
inicial foi alterada antes mesmo de colocada em prática. Inicialmente o modelo de contas
de usuário seguiu a seguinte regra: matricula para os funcionários/professores e matrícula
acadêmica para os alunos.
Para o caso dos alunos, a matrícula acadêmica continuou sendo o nome de
usuário a ser utilizado. Para os funcionários, se o usuário possui a conta de e-mail
[email protected], seu nome de usuário no AD deve ser joaosilva – princípio da
padronização.
Cada nome de usuário é criado automaticamente no momento em que o
funcionário, professor ou aluno é cadastrado no sistema da faculdade. O AD possui
integração direta com o sistema acadêmico para o preenchimento dos dados de usuários.
8.5. DEFINIÇÃO DOS SISTEMAS OPERACIONAIS
A FJAV possui contrato com a Microsoft para uso de seus produtos. Neste contrato
estão contempladas licenças do Sistema Operacional Windows Server 2008 Enterprise.
Esta licença é do tipo 1 + 4, ou seja, para cada computador que tenha instalada a licença
do Windows Server 2008 Enterprise R2 , pode-se instalar mais quatro licenças do
Windows Server 2008 Standard R2 em máquinas virtuais neste mesmo computador.
8.6. PREPARAÇÃO DOS SERVIDORES
A implantação do Active Directory, foi abordada apenas superficialmente nas
máquinas onde foram instalados o sistema acadêmico.
8.7. CONFIGURAÇÃO DO HOST
A primeira parte da implantação foi à preparação dos servidores HP PROLAIND
ML350. Inicialmente foi utilizada a mídia que acompanhava o equipamento para
configuração do RAID 5.
Feitas as configurações iniciais, partiu-se para a instalação do Sistema
Operacional Microsoft Windows Server 2008 Enterprise R2 x64 English, que como
o próprio nome indica, é uma versão 64 bits. A opção pelo idioma inglês se fez por
questões de melhor compatibilidade com os aplicativos a serem a ser instalados.
Para o Sistema Operacional do Host foram dedicados 100GB de espaço em disco.
O espaço restante, cerca de 400GB, ficou para uma segunda partição destinada a
armazenar as máquinas virtuais.
Um detalhe interessante é que, como o servidor possui duas placas de rede, uma
placa ficou para uso exclusivo do host e a outra compartilhada entre as máquinas virtuais.
Essa divisão facilita as manutenções futuras e também ajuda na otimização da rede.
8.8. INSTALAÇÃO E CONFIGURAÇÃO VM DO ACTIVE DIRECTORY
Segundo a Microsoft, o mínimo recomendado para utilização do Active
Directory é o mesmo que para o Windows 2008, ou seja: 512MB de memória RAM
e 10GB de HD; o recomendável é 2GB de memória RAM e algo entre 10GB e 40GB de
HD.
Abaixo, suas principais configurações.
Nome: SF-FJAV-DTI-01
Domínio: fjav.com.br
8.9. CONFIGURAÇÃO DO ACTIVE DIRECTORY
Antes da etapa de configuração do Active Directory foram feitos vários testes na
rede, para verificar o funcionando perfeito para que o AD funcione.
Com a rede funcionando corretamente, o próximo passo foi a promoção do servidor
como controlador de domínio. Isto é feito através do comando dcpromo.
Logo após, foi realizado a criação das unidades organizacionais, usuários e dos
grupos, conforme pode ser visualizado logo abaixo. Permitindo-se a criação de diretivas
de acesso as (GPOs).
FJAV.COM.BR
FACULDADE BIBLIOTECA
TECNOLOGIA DA INFORMACAO
SECRETARIA
RECEPCAO
ESTAGIARIOS
USUARIOS
COMPUTADORES
IMPRESSORAS
GRUPOS
USUARIOS
COMPUTADORES
IMPRESSORAS
GRUPOS
USUARIOS
COMPUTADORES
IMPRESSORAS
GRUPOS
USUARIOS
COMPUTADORES
IMPRESSORAS
GRUPOS
USUARIOS
COMPUTADORES
GRUPOS
USUARIOS
COMPUTADORES
GRUPOS
DTI
SUPORTE TECNICO
GRUPOS
DESKTOP SERVIDORES
VIRTUALFISICO
ALMOXARIFADO USUARIOS
COMPUTADORES
GRUPOS
COLÉGIO JAV USUARIOS
COMPUTADORES
GRUPOS
IMPRESSORAS
IMPRESSORAS
IMPRESSORAS
Atualmente a Instituição de Ensino possui uma única floresta do Active Directory e
uma única solução de gerenciamento de estações de trabalho para todos os PCs
executando a nova imagem padrão de estação de trabalho.
8.10. GERENCIAMENTO DETALHADO DE ESTAÇÕES DE TRABALHO
Atualmente, o DTI da FJAV dá suporte a 300 estações de trabalho, substituindo
ferramentas, proporcionado suporte aos usuários e possibilitando vários benefícios no seu
novo sistema de gerenciamento de estações de trabalho. Entre quais destaco:
Implantação de novo software. Os técnicos não precisam mais visitar a estação
de trabalho de um usuário para instalar novo software. Através das GPOs os
softwares são instalados automaticamente nos computadores dos usuários;
Distribuição de atualizações de software;
Suporte para estações de trabalho de usuários em transições. Aplicações de
estação de trabalho são vinculadas aos usuários em vez de aos computadores
físicos, eliminando a necessidade de mudar esses computadores quando as
pessoas mudam de mesa. Em vez disso, o usuário pode simplesmente efetuar
o logon em qualquer computador, que automaticamente removerá e reinstalará
as aplicações da estação de trabalho associadas com aquela pessoa.
8.11. BENEFÍCIOS
Pela implantação das soluções Windows Server 2008 R2, melhorou a
confiabilidade e segurança no ambiente das estações de trabalho, auxiliando o grupo de
serviços de TI da empresa a oferecer um melhor atendimento aos clientes internos e a
maximizar as economias de custos obtidas através os novos recursos implantados.
8.12. ATENDIMENTO APRIMORADO AO CLIENTE
Atualmente, o grupo de serviços de TI da FJAV oferece um melhor atendimento
aos seus clientes internos.
Os usuários não precisam esperar a visita de um técnico para instalar software ou
atualizações, nem precisam realizar essas tarefas eles próprios. Quando um usuário
solicita uma aplicação, ele é adicionado ao grupo do Active Directory para a aplicação e
recebe instalada automaticamente, sem a necessidade de sua participação adicional.
O atendimento e produtividade do usuário final é agilizado através do suporte que o
Windows Server 2008 R2, que fornece para estações de trabalho dos usuários em
transição de funções.
Se o usuário mudar para outra mesa (deixando seu velho PC para trás) e efetuar o
logon no PC em uma nova mesa,dentro de minutos, todos os programas de sua estação
de trabalho são removidos de seu antigo PC e reinstalados no novo e totalmente
disponíveis e prontos para o uso. Isso é muito importante, especialmente aos
trabalhadores móveis; pois sabem que podem fazer uso de qualquer mesa em qualquer
escritório e ter acesso a suas aplicações.
9. CONCLUSÃO
Atualmente a necessidade de uma rede melhor gerenciada e segura para os
usuários é o fator mais importante em um ambiente corporativo. Entretanto, com o
aumento e as constantes modificações pelas quais as redes passam, os usuários têm
necessidade de um serviço que permita um acesso seguro e transparente aos recursos
da rede.
Este estudo possibilitou o conhecimento técnico e operacional de uma nova
ferramenta Windows Server 2008 R2 com o Active Directory que atende as necessidades
de um ambiente corporativo.
Os Mantenedores da “Fundação José Augusto Vieira”, conscientes da fragilidade
na área de TI, possibilitou-me de participar da implantação do Windows Server 2008 R2
com o Active Directory, vivenciando na prática todos os benefícios oferecidos pelo
sistema, tornando a FJAV um exemplo à outras instituições de ensino.
Em suma, a conquista da FJAV na área tecnológica assegura retorno de capital
com qualidade, competência e credibilidade.
REFERÊNCIAS
Stanek, William R.: Windows Server 2008 - Guia Completo. Bookman :Brasil,2009.
Battisti, Júlo; Santana, Fabiano.: Windows Server 2008 - Guia de Estudos Completo. Novaterra : Brasil, 1ª Ed. / 2009
Windows Server 2008 R2 Active Directory Overview. Disponível em: <http://www.microsoft.com/en-us/server-cloud/windows-server/active-directory-overview.aspx> . Acesso em: 29 jun. 2012.
Active Directory Domain Services.Disponível em :<http://technet.microsoft.com/pt-br/library/cc770946%28v=ws.10%29.aspx>. Acessado em: 29 jun. 2012.
Serviços e Sites do Active Directory. Disponível em :<http://technet.microsoft.com/pt-br/library/cc730868%28v=ws.10%29.aspx>. Acessado em: 03 jul. 2012.
O que é o Active Directory. Disponível em: <http://www.linhadecodigo.com.br/artigo/2422/o-que-e-o-active-directory.aspx>. Acessado em: 05 jul. 2012.
WINDOWS 2000 / AD – Active Directory. Disponível em : <http://www.juliobattisti.com.br/fabiano/artigos/activedirectory.asp>. Acessado em: 05 jul. 2012.
Introdução ao Active Directory - Parte 1. Disponível em: <http://technet.microsoft.com/pt-br/library/cc668412.aspx>. Acessado em: 01 ago. 2012.
Entendendo Active Directory. Disponível em: <http://imasters.com.br/artigo/4735/redes-e-servidores/entendendo-active-directory>. Acessado em: 01 ago. 2012.