conceitos do active diretory

Sistemas Operacionais de Redes Proprietários

MS Windows Server 2008Active Directory

Prof. Pedro Clarindo da Silva Neto

Active DirectoryServiços de Diretório do Windows Server. Um serviço de diretórios é um serviço de rede. O qual identifica todos os recursos disponíveis em uma rede, mantendo informações sobre estes dispositivos (contas de usuários, grupos, computadores, recursos, políticas de segurança, etc) em um banco de dados e torna estes recursos disponíveis para usuários e aplicações.

BATTISTI, Júlio; SANTANA, Fabiano


Active DirectoryO Active Directory (AD) é um serviço de diretório nas redes Windows 2000, 2003 e 2008.

Serviço de diretório é um conjunto de Atributos sobre recursos e serviços existentes na rede, isso significa que é uma maneira de organizar e simplificar o acesso aos recursos de sua rede centralizando-os; Bem como, reforçar a segurança e dar proteção aos objetos da database contra intrusos, ou controlar acessos dos usuários internos da rede.

O Active Directory mantém dados como contas de usuários, impressoras,grupos,computadores, servidores,recursos de rede, etc. Ele pode ser totalmente escalonável, aumentando conforme a nossa necessidade.

Adaptado de Microsoft TechNet


Active DirectoryO Active Directory surgiu da necessidade de se ter um único diretório, ou seja, ao invés do usuário ter uma senha para acessar o sistema principal da empresa, uma senha para ler seus e-mails, uma senha para se logar no computador, e várias outras senhas, com a utilização do AD, os usuários poderão ter apenas uma senha para acessar todos os recursos disponíveis na rede. O AD surgiu juntamente com o Windows 2000 Server. Objetos como usuários, grupos, membros dos grupos, senhas, contas de computadores, relações de confiança, informações sobre o domínio, unidades organizacionais, etc, f icam armazenados no banco de dados do AD.


Active DiretoryAlém de armazenar vários objetos em seu banco de dados, o AD disponibiliza vários serviços, como: autenticação dos usuários, replicação do seu banco de dados, pesquisa dos objetos disponíveis na rede, administração centralizada da segurança utilizando GPO, entre outros serviços. Esses recursos tornam a administração do AD bem mais fácil, sendo possível administrar todos os recursos disponíveis na rede centralizadamente. Para que os usuários possam acessar os recursos disponíveis na rede, estes deverão efetuar o logon. Quando o usuário efetua logon, o AD verifica se as informações fornecidas pelos usuários são válidas e faz a autenticação, caso essas informações sejam válidas.


Active DirectoryNota de rodapé:

!

� Nome oficial do Active Directory: Active Directory Domain Services – ADDS.

� Surgiu a partir do MS Windows Server 2000.


Active DirectoryElementos que compõe a estrutura lógica e mantem em funcionamento o AD:

� Domínios

� Árvores

� Florestas

� Relações de Confiança

� Objetos do AD

� UO ou OU ou Unidades Organizacionais

� Schema

� Sites


Active Directory


Webmail Servidor de aceso à rede

Sistema RH SistemaFianceiro

Cada um com login e senhas diferentes e procedimentos de autenticação e segurança distintos.

Active DirectoryCada ambiente possui um banco de dados para cadastro de usuário, senha e outras informações. Este banco de dados é um exemplo de Diretório. Para cada diretório o usuário possui uma senha.

Ou seja, um diretório é um banco de dados, com informações sobre usuários, senhas e outros elementos necessários ao funcionamento do sistema.

O AD é um exemplo de Diretório. No AD ficam armazenadas informações como usuários, senhas, contas de computadores e outras informações necessárias para uma rede MS Windows Server.


Active DirectoryNas diversas tecnologias que empresas de médio e grande porte utilizam hoje em dia, uma área para autenticação é exigida por praticamente todos os sistemas, o que pode muitas vezes ocasionar uma variada quantidade de cadastro de utilizadores replicados entre os sistemas. Como exemplo daquele utilizador que tem muitos "logins" e "senhas" para acesso aos sistemas da empresa e toda semana precisa lembrar ou alterar alguma informação de seu cadastro. Ex: login e senha para acesso a máquina, a rede, ao e-mail, ao sistema de gestão, sistema de documentos, etc.


Active DirectoryDesta forma o usuário fica confuso e a equipe de TI simplesmente perde tempo com o serviço repetitivo e de suporte. Um servidor de diretórios como o Open LDAP ou MS Active Directory recebe esta autenticação dos muitos sistemas; o protocolo LDAP serve justamente para outras aplicações quaisquer da empresa se conectarem e consultarem um servidor de diretórios.


Active DirectoryO Active Directory (AD) é uma implementação de serviço de diretório no protocolo LDAP (Lightweight Directory Access Protocol) que armazena informações sobre objetos em uma rede e disponibiliza essas informações a usuários e administradores desta rede. (Pense no AD como um banco de dados hierárquico orientado a objetos que representa todos os seus recursos de rede.)


Active DirectoryO LDAP é um protocolo para atualizar e pesquisar diretórios rodando sobre TCP/IP e segue o modelo de árvore de nós, onde cada nó representa um conjunto de atributo com seus valores. O LDAP é uma alternativa ao DAP - Directory Access Protocol .


Active DirectoryA idéia é, além de centralizar a autenticação em uma rede baseada no MS Windows Server, centralizar a autenticação e demais recursos em todos os serviços oferecidos pela rede.


Active Directory


Nome: José da Silva Login:jsilva Senha: ******** Setor: Financeiro Telefone: 555-4545 Email: [email protected]

Funcionário José mudou de setor, como isso refletiria na rede e nos sistemas?

Active DirectoryWorkgroups – Grupos de Trabalho

!Cada servidor é independente do outro, ou seja, não compartilham uma lista de usuários, grupos, e outras informações . Cada servidor tem uma lista de usuários e grupos.


Servidor01 Servidor02 Servidor03

Active DirectoryWorkgroups – Grupos de Trabalho



Usuários jsilva maria pedro paulo

Usuários Jsilva pedro mauro

Usuários Jsilva pedro Mauro luis

Exemplos de acesso: paulo tenta acessar recursos do Servidor01 – OK paulo tenta acessar recursos do Servidor02 – FAIL !pedro altera sua senha, mas somente no Servidor01 – os demais ficam com a senha antiga. pedro tenta acessar recursos do Servidor01 com a nova senha – OK pedro tenta acessar recursos do Servidor02 com a nova senha – FAIL

Active DirectoryDiretório – Domínio

Base de usuários única, todos os servidores da rede compartilham a mesma base de usuários. O que ocorre na prática é que todos os servidores contêm uma cópia da base de informações do diretório. Alterações efetuadas em um dos servidores é replicada (repassada) para os demais servidores da rede, para que todos fiquem com uma cópia idêntica da base de dados do diretório.

Todos os servidores tem acesso à mesma base de dados, todos compartilham o mesmo diretório com as mesmas informações sobre usuários, senhas, grupos de usuários, políticas de segurança e assim por diante.


Active DirectoryDiretório – Domínio



!Usuários jsilva maria pedro paulo luis

Exemplos de acesso: paulo tenta acessar recursos do Servidor01 – OK paulo tenta acessar recursos do Servidor02 – OK !pedro altera sua senha, mas somente no Servidor01 – a senha é replicada na base. pedro tenta acessar recursos do Servidor01 com a nova senha – OK pedro tenta acessar recursos do Servidor02 com a nova senha – OK

Active DirectoryDomínio

No Windows Server 2008, o conjunto de servidores, estação de trabalho, bem como as informações do diretório, é que formam uma unidade conhecida como Domínio. Todos os servidores que contêm uma cópia da base de dados do Active Directory fazem parte do domínio. As estações de trabalho podem ser configuradas para fazerem parte do domínio, cada estação de trabalho que faz parte do domínio tem uma conta de computador criada no domínio, que tem o mesmo nome do computador.


Estação de trabalho: financeiro01

Conta de computador na base do AD: financeiro01


Domínios diferentes possuem permissões de acesso e segurança diferentes. Um administrador do Domínio A tem acesso aos recursos deste e somente deste Domínio. Uma política de segurança implementada no Domínio B só serve para este domínio.

Um domínio é um agrupamento lógico de contas e recursos, os quais compartilham políticas de segurança. As informações sobre os diversos elementeos do domínio (contas de usuário, contas de computador, etc..) estão contidas do banco de dados do AD.



Em um domínio baseado em AD e no Windows Server 2008 é possível ter 2 tipos de Servidores:

Controladores de Domínio – DC (Domain Controllers)

Servidores Membro – Member Servers

A criação de contas de usuários, grupos de usuários e outros elementos, além de alterações nas contas, políticas de segurança entre outras ações do AD podem ser feitas em qualquer DC que serão replicadas para os demais DCs.



Nos servidores membros PODEM ser criadas contas de usuários e grupos (Contas Locais), mas serão válidas somente nesse servidor membro. Isso não é recomendado pois dificulta a administração. Os servidores membros, como parte integrante do domínio não possuem uma cópia da lista de usuários e grupos do AD, porém tem acesso a lista. Com isso, podem ser atribuidas permissões para acesso aos servidores membros. Ex: Acessar uma pasta compartilhada que está no servidor membro. Isso pode ser feito também em uma estação de trabalho que está no AD. Prof. Pedro Clarindo da Silva Neto

Active DirectoryAD - Possui além de um banco de dados com informações sobre elementos (objetos) que compõe o domínio, o AD também disponibiliza uma série de serviços que executam, dentre várias outras, as seguintes funções:

� Replicação entre os DC;

� Autenticação;

� Pesquisa de objetos na base de dados;

� Interface de programação para acesso aos objetos do diretório.


Active DirectoryOs recursos de segurança são integrados com o AD através do mecanismo de logon (informar nome de usuário e senha ou cartões inteligentes, certifiados digitais, etc...), para acesso aos recursos de rede. Durante o logon, o AD verifica se as informações estão corretas e e libera o aceso aos recursos para os quais o usuário tem permissão de acesso.


Active Diretory

Nome de usuário e senha Verifica o logon

Estação de trabalho membro do AD

Active DirectoryOs recursos disponíveis através do AD são organizados de uma maneira hierárquica, através do uso de Domínios. Uma rede com AD pode ser formada por um ou mais domínios. Todos os DC possuem o AD instalado.

O AD utiliza o DNS como serviço de nomeação de recursos e de resolução de nomes. Um dos pré-requisitos para instalação do AD é ter o DNS instalado e corretamente configurado. Isso pode ser feito pelo próprio assistente de instalação do AD.


Active DirectoryTodos os domín ios possuem as segu in tes características:

� Todos os objetos de uma rede (contas de usuários, grupos, impressoras, políticas de segurança, etc…) fazem parte de um único domínio. Cada domínio armazena informações sobre objetos do seu próprio domínio.

� Cada domínio possui suas próprias políticas de segurança, ou seja, não existe herança de políticas de segurança entre domínio diferentes.


Active DirectoryÁrvore de domínios – são diversos domínios relacionados através de relações de confiança, criadas e mantidas automaticamente pelo AD. É um agrupamento ou arranjo hierárquico de um ou mais domínios do Windows Server 2008, os quais “compartilham um espaço de nome”.


ifmt.edu.br

plc.ifmt.edu.br cba.ifmt.edu.brcas.ifmt.edu.br

compras.plc.ifmt.edu.brensino.plc.ifmt.edu.br

Info.cba.ifmt.edu.br

Pai

Filho

Filho

Pai

Active DirectoryUnidade Organizacional – é uma divisão que pode ser ut i l izada para organizar os objetos de um determinado domínio em um agrupamento lógico para efeitos de administração. Cada domínio pode implementar a sua hierarquia de Unidades Organizacionais, independentemente dos demais domínios, isto é, os diversos domínios que formam uma árvore não precisam ter a mesma estrutura hierárquica de unidades organizacionais. Com o uso de Unidades Oraganizacionais é possível dar permissões para um usuário somente para os recursos (usuários, grupo, computadore, etc…) contidos naquela OU.


Active DirectoryContas de usuários – Todo usuário que quer ter acesso aos recursos dos computadores do domínio (pastas compartilhadas, impressoras compartilhadas, etc..) deve ser cadastrado no AD. Cadastrar o usuário significa criar uma conta de usuário e uma senha. Ao cadastrar um usuário, outras informações como seção, nome completo, endereço, telefone, etc, podem ser cadastradas. Uma conta de usuário é um objeto do Active Directory, o qual contém diversas informações sobre o usuário. Uma vez criada a conta em um DC é replicada para os demais DCs do domínio.


Active DirectoryContas de computador – Todas estações de trabalho com SO Microsoft , e que fazem parte do domínio, devem ter uma conta de computador no AD. Servidores, sejam Members Servers ou DCs, rodando So de servidor Microsoft também tem contas de computador no AD. A conta pode ser criada antes de adicionar o computador ao domínio ou no momento que o computador é configurado para entrar no domínio. A conta de computador deve ter o mesmo nome do computador na rede.


Active DirectoryGrupos de usuário – É uma coleção de contas de usuários. Facilita a administração e a atribuição de permissões para acesso a recursos como: pastas compartilhadas, impressoras remotas, serviços d i re tos, e tc . . . Ao invés de dar per missão individualmente para cada um dos usuários que necessitem acessar determinado recurso, cria-se um grupo, inclui os usuários no grupo e atribui permissões para o grupo. Para que um usuário tenha permissão ao recurso basta adicioná-lo ao grupo, pois todos os usuários de um determinado grupo herdam as permissões dos grupos aos quais pertence.


Active DirectoryGrupos de usuário


pasta compartilhada com acesso para o grupo

Contabilidade

grupo de usuários Contabilidade

grupo Contabilidade com permissões


✤São uma coleção de contas de usuários;

✤Os membros de um grupo herdam as permissões atribuidas ao grupo;

✤Os usuários podem ser membros de vários grupos;

✤Grupos podem ser membros de outros Grupos;

✤Contas de computadores podem ser membros de um grupo.

✤Os grupos são classificados de acordo com diferentes critérios, tais como: tipo, escopo e visibilidade.



Classificação quanto ao tipo:

Grupos de segurança - normalmente utilizados para atribuir permissões de acesso aos recursos da rede. Ex: Criar um grupo Contabilidade, o qual conterá todas as contas dos funcionários do departamento contabilidade, e será utilizado para atribuir permissões de acesso a uma pasta compartilhada.



Classificação quanto ao tipo:

Grupos de distribuição - utilizados para funções não relacionadas com segurança (atribuições de permissões). Normalmente são utilizados em conjunto com servidores de email ou de programas aptos a trabalhar com o AD.



Classificação quanto ao escopo

O escopo de um grupo determina em que partes do domínio ou de uma floresta de domínio o grupo é visível, ou seja, pode sre utilizado para receber permissões de acesso aos recursos da rede.




Grupo universal - São grupos que podem ser utilizados em qualquer parte de um domínio ou da árvore de domínios e podem conter membros, grupos e usuários de quaisquer domínio. Pode conter contas de usuários, outros grupos universais e grupos globais de qualquer domínio. Pode ser membro de grupos locais do domínio ou grupos universais de qualquer domínio. Pode receber permissões para recursos localizados em qualquer domínio.




Quando se deve utilizar Grupo Universal - quando se deseja consolidar diversos grupos globais. Você pode fazer isso criando um grupo universal e adicionando os diversos grupos globais como membros do grupo Universal.




Grupo global - é global quandoos locais onde ele pode receber permissões de acesso, ou seja, um grupo Global pode receber permissões de acesso em recursos (pastas compartilhadas, impressoras, etc) de qualquer domínio. Em resumo: Pode conter contas de usuários e grupos globais do mesmo domínio , ou seja, somente pode conter membros do domínio no qual o grupo é criado.




Grupo global - Pode ser membro de grupos universais e grupos locais do domínio, de qualquer domínio. Pode ser membro de qualquer Grupo Global do mesmo domínio. Pode receber permissões para recursos localizados em qualquer domínio.




Quando se deve utilizar Grupo Global - para o gerenciamento dos objetos que sofrem alterações contantemente, quase que diariamente, tais como contas de usuários e de computadores. As alterações feitas em um Grupo Global são replicadas somente dentro do domínio onde foi criado o grupo Global, e não através de toda a árvore de domínios. Com isso, o volume de replicação é reduzido, o que permite a utilização de Grupos Globais para a administração de objetos que mudam frequentemente.




Grupo Local - são grupos que somente podem receber permissões para os recursos do domínio onde foram criados, porém podem ter como membros grupos e usuários de outros domínios. Podem conter membros de qualquer domínio. Somente pode receber permissões para recursos no domínio no qual o grupo foi criado. Pode conter contas de usuários, grupos universais e grupos globais de qualquer domínio. e outros grupos Locais do próprio domínio. Pode ser membro de Grupos Locais do próprio domínio.




Quando se deve utilizar Grupo Local - são utilizados para atribuir permissões de acesso aos recursos da rede.



Grupos Locais

Estratégia recomendada pela Microsoft:

•Criar as contas de usuários;

•Adicionar as contas de usuários a grupos Globais;

•Adicionar os grupos globais ou Universais como membros dos grupos locais;

•Atribuir permissões de acesso para os grupos Locais.


Active Directory


abc.com

vendas.abc.com prod.abc.com

amer.prod.abc.com eua.prod.abc.comeuro.vendas.abc.com asia.vendas.abc.com

Active Directory


Continua....

conceitos do active diretory

Documents