INSTALAO DE REDES

Aula 17: Active Directory

Active Directory
O Active Directory o servio de diretrios do Windows Server 2003. Um Servio de Diretrio um servio de rede, o qual identifica todos os recursos disponveis em uma rede, mantendo informaes sobre estes dispositivos (contas de usurios, grupos, computadores, recursos, polticas de segurana etc.) em um banco de dados e torna estes recursos disponveis para usurios e aplicaes. O AD surgiu juntamente com o Windows 2000 Server. Objetos como usurios, grupos, membros dos grupos, senhas, contas de computadores, relaes de confiana, informaes sobre o domnio, unidades organizacionais, etc, ficam armazenados no banco de dados do AD.

Active Directory
Afinal, o que Diretrio? Um diretrio nada mais do que um cadastro ou, melhor ainda, um banco de dados com informaes sobre usurios, senhas e outros elementos necessrios ao funcionamento de um sistema, quer seja um conjunto de aplicaes no Mainframe, um grupo de servidores da rede local, o sistema de e-mail ou outro sistema qualquer. Imagine uma empresa onde o usurio, para realizar o seu trabalho dirio, tem que acessar aplicaes e servios em diferentes plataformas e modelos: No Mainframe, em aplicaes cliente/servidor, sistemas de e-mail, intranet da empresa e alm desta variedade de aplicaes, voc tambm precisa de acesso aos recursos bsicos da rede, tais como pastas e impressoras compartilhadas.

Active Directory
A proposta da Microsoft que, aos poucos, as aplicaes sejam integradas com o Active Directory. O que seria uma aplicao integrada com o Active Directory? Seria uma aplicao que, ao invs de ter o seu prprio cadastros de usurios, senhas e grupos (seu prprio diretrio), fosse capaz de acessar as contas e grupos do Active Directory e atribuir as permisses de acesso diretamente s contas e grupos do Active Directory.

Active Directory
Vamos supor que voc utilize o Microsoft Exchange 2003 como servidor de e-mail. Este um exemplo de aplicao que j integrada com o Active Directory. Ao instalar o Exchange 2003, este capaz de acessar a base de usurios do Active Directory e voc pode criar contas de e-mail para os usurios do Active Directory. Chegar o dia do logon nico, quando todas as aplicaes forem ou diretamente integradas com o Active Directory, ou capazes de acessar a base de usurios do Active Directory e atribuir permisses de acesso aos usurios e grupos do Active Directory

Active Directory
Alm de armazenar vrios objetos em seu banco de dados, o AD disponibiliza vrios servios, como: autenticao dos usurios, replicao do seu banco de dados, pesquisa dos objetos disponveis na rede, administrao centralizada da segurana,entre outros servios. Esses recursos tornam a administrao do AD bem mais fcil, sendo possvel administrar todos os recursos disponveis na rede centralizadamente. Para que os usurios possam acessar os recursos disponveis na rede, estes devero efetuar o logon. Quando o usurio efetua logon, o AD verifica se as informaes fornecidas pelos usurios so vlidas e faz a autenticao, caso essas informaes sejam vlidas.

Active Directory
O AD organizado de uma forma hierrquica, com o uso de domnios. Caso uma rede utilize o AD, poder conter vrios domnios. Um domnio nada mais do que um limite administrativo e de segurana, ou seja, o administrador do domnio possui permisses somente no domnio, e no em outros domnios. As polticas de segurana tambm se aplicam somente ao domnio, e no a outros domnios. Resumindo: diferentes domnios podem ter diferentes administradores e diferentes polticas de segurana.

Active Directory
Ao utilizar os domnios baseados no AD, temos os seguintes recursos:

Logon nico : com esse recurso, o usurio necessita fazer apenas um logon para acessar os recursos em diversos servidores da rede, inclusive e-mail e banco de dados. Conta de usurio nica : os usurios possuem apenas um nome de usurio para acessar os recursos da rede. As contas de usurios ficam armazenadas no banco de dados do AD. Gerenciamento centralizado : com os domnios baseados no AD, temos uma administrao centralizada. Todas as informaes sobre contas de usurios, grupos e recursos da rede, podem ser administradas a partir de um nico local no domnio. Escalonabilidade : os domnios podem crescer a qualquer momento, sem limite de tamanho. A forma de administrao a mesma para uma rede pequena ou grande.

Active Directory
Os elementos que compem e mantm o funcionamento do AD so conhecidos como:
    

Domnios rvores Florestas Objetos do Active Directory Unidades Organizacionais

Estes elementos compem a chamada estrutura lgica do Active Directory, ou seja, a maneira como o active directory apresentado ao Administrador e aos usurios, quando estes utilizam as ferramentas de administrao e pesquisa do Active Directory

Active Directory
Nos domnios baseados no AD, podemos ter dois tipos de servidores:
Controlador de Domnio (DC Domain Controller) : o computador que possui o AD instalado, ou seja, um servidor que possui uma cpia da base de dados do AD. Em um mesmo domnio podemos ter mais de um Controlador de Domnio. As alteraes efetuadas em um DC so replicadas para todos os outros DCs. So os DCs quem fazem a autenticao dos usurios de um domnio. Servidor Membro (Member Server) : um servidor que no possui uma cpia do AD, porm tem acesso aos objetos do AD. No fazem a autenticao dos usurios.

Active Directory
Para a instalao do AD necessrio que o servio DNS esteja disponvel, ou seja, um pr-requisito para a instalao do AD. O AD utiliza o DNS para a nomeao de servidores e recursos, e tambm para resoluo de nomes. Caso o servio DNS no esteja disponvel na rede durante a instalao do AD, poderemos instal-lo durante a instalao do AD. Com a utilizao de domnios, podemos fazer com que nossa rede reflita a estrutura de uma empresa. Quando utilizamos vrios domnios temos o conceito de relao de confiana. A relao de confiana permite que os usurios de ambos os domnios acessem os recursos localizados nesses domnios. No Windows 2000, as relaes de confianas so bidirecionais e transitivas, ou seja, se o domnio X confia no domnio Y, e Y confia no domnio W, o domnio X tambm confia no domnio W.

Active Directory
Algumas caractersticas prprias de cada domnio: Um domnio armazena informaes somente dos objetos do prprio domnio. Um domnio possui suas prprias diretivas de segurana. Os domnios do Windows 2000 podem estar nos seguintes modos:
Native (Nativo) : utilizado em domnios que possuem somente Controladores de Domnio (DC) Windows 2000. Mixed (Misto) : utilizado em domnios que possuem Controladores de Domnio (DC) Windows 2000 e Windows NT.

Domnio
O domnio do Windows 2000 e 2003 uma estrutura lgica onde compartilha uma central de servios e diretrios. A base de dados do diretrio contm contas de usurios e segurana da informao do domnio. No Windows 2000/2003, a base de dados do diretrio conhecida como uma parte ativa do AD. No Domnio compe computadores configurados no Domain Controllers. Com uma nica conta, os usurios podem validar-se no domnio a partir de qualquer mquina (Onde se tenha autorizao), a partir da, usufruir dos recursos da rede para os quais o administrador do domnio lhes der permisses. O AD criado quando estamos instalando o Domnio , pois no possvel criar um domnio antes e depois instalar o AD, esse processo ocorre junto.

Domnio
A criao de conta de usurios, grupos de usurios e outros elementos do Active Directory, bem como alteraes nas contas de usurios, nas polticas de segurana e em outros elementos do Active Directory, podem ser feitas em qualquer um dos Controladores de Domnios. Uma alterao feita em um DC ser automaticamente repassada (o termo tcnico replicada) para os demais Controladores de Domnio. Por isso que o Domnio transmite a idia de um agrupamento lgico de Contas de usurios e grupos, bem como de polticas de segurana, uma vez que todo o Domnio compartilha a mesma lista de usurios, grupos e polticas de segurana.

Domnio
Nos Servidores Membros podem ser criadas contas de usurios e grupos, as quais somente sero validas no Servidor Membro onde foram criadas. Embora isso seja tecnicamente possvel, essa uma prtica no recomendada,uma vez que isso dificulta enormemente a administrao de um Domnio.

Domnio
Os DCs compartilham uma lista de usurios, grupos e polticas de segurana e tambm so responsveis por fazer a autenticao dos usurios na rede, j os servidores membros no possuem uma cpia da lista de usurio e grupos, estes no efetuam a autenticao dos clientes e tambm no armazenam informaes sobre as polticas de segurana para o Domnio as quais tambm so conhecidas por GPO Group Policies Objects.

Domnio
Os recursos de segurana so integrados com o Active Directory atravs do mecanismo de logon e autenticao. Todo usurio tem que fazer o logon (informar o seu nome de usurio e senha), para ter acesso aos recursos da rede. Durante o logon, o Active Directory verifica se as informaes fornecidas pelo usurio esto corretas e ento libera o acesso aos recursos para os quais o usurio tem permisso de acesso.

Domnio
Os recursos disponveis atravs do Active Directory, so organizados de uma maneira hierrquica, atravs do uso de Domnios. Uma rede na qual o Active Directory est instalado pode ser formada por um ou mais domnios. Como a utilizao do Active Directory, um usurio somente precisa estar cadastrado em um nico Domnio, sendo que este usurio pode receber permisses para acessar recursos de qualquer um dos Domnios. A utilizao do Active Directory simplifica em muito a administrao, pois fornece um local centralizado, atravs do qual os recursos da rede podem ser administrados.

Domnio
Todo Domnio possui as seguintes caractersticas:
Todos

os Objetos de uma rede (contas de usurios, grupos, impressoras, polticas de segurana, etc.) fazem parte de um nico domnio. Cada domnio somente armazena informaes sobre os objetos do prprio domnio. Cada domnio possui suas prprias polticas de segurana.

Grupo de Trabalho
Grupo de Trabalho, ou Workgroup, o modo utilizado quando optamos pela mquina ser administrada localmente (ponto a ponto), ou seja, para um usurio usufruir dos recursos (arquivos, impressoras, etc.) ter que possuir uma conta na base de dados local do sistema. Por exemplo, se o mesmo usurio utilizar dois ou mais sistemas de um Workgroup ter que ter duas ou mais contas, uma em cada mquina.Nesse caso, no h uma administrao central para os acessos e utilizao dos recursos, gerando uma falta de segurana. Portanto, esse tipo de configurao recomendado para o caso de existncia de uma rede com poucas mquinas, onde o fator da segurana no de tanta importncia. Para configurao de Workgroup no requer a instalao do Windows 2000 Server , pois uma rede descentralizada.

rvores
rvores so estruturas de hierarquia de um ou mais Domnios. A rvore criada quando criamos o nosso domnio, sendo o nome da nossa rvore o mesmo nome que configuramos para o nosso domnio. Podemos estar criando mais de um domnio para departamentos diferentes na empresa , por exemplo.Porm, se o mesmo administrador for administrar os domnios, precisamos no somente de mais um domnio, como tambm um subdomnio (child domain). Subdomnio o um domnio que esta abaixo de outro domnio na hierarquia da rvore.

rvores
regilan.com

disciplinas.re gilan.com

aulas.regilan. com

redes.disciplina s.regilan.com

analise.disciplina s.regilan.com

Florestas
Floresta um grupo de uma ou mais rvores. A floresta fornece recursos de segurana, convenes, confianas e global catalog. Criar uma floresta a maneira de organizar as rvores e manter os esquemas separados

Unidades Organizacionais
Uma Unidade Organizacional uma diviso que pode ser utilizada para organizar os objetos de um determinado domnio em um agrupamento lgico para efeitos de administrao. Com a utilizao de unidades organizacionais, possvel restringir os direitos administrativos apenas em nvel da Unidade Organizacional sem que, com isso, o usurio tenha poderes sobre todos os demais objetos do Domnio.

Unidades Organizacionais
Utilize Unidades Organizacionais quando quiser delegar tarefas administrativas sem que, para isso, tenha que dar poderes administrativos em todo o Domnio ou para melhorar alteraes na estrutura da sua companhia. A infra-estrutura das OU s no deve-se basear na estrutura organizacional da companhia, mas sim na infra-estrutura da poltica da rede.

Objetos do Active Directory

Contas de Usurios

Uma conta de usurio um objeto de Active Directory, o qual contm diversas informaes sobre o usurio. Para ter acesso aos recursos dos computadores do domnio deve ser cadastrado no Active Directory. Todo computador que faz parte do domnio, seja uma estao de trabalho ou servidor membro, deve ter uma conta de computador no Active Directory. Quando voc adiciona uma mquina no domnio, automaticamente criado um conta de computador. Estaes rodando Windows 95/98/ME, no cria conta de computador no Active Directory.

Contas de Computador

Objetos do Active Directory

Grupo de Usurios
Responsvel

para facilitar a administrao e a atribuio de permisses para acesso a recursos, tais como: pastas compartilhadas, impressoras remotas, servios diversos etc.

EXEMPLO PRTICO
INSTALAR O ACTIVE DIRECTORY
Nesse exemplo prtico em sala de aula instalaremos o AD em um servidor Windows 2000. Criaremos um novo domnio e deixaremos que o assistente de instalao do AD configure o DNS automaticamente. Lembre-se: para que o AD possa ser instalado corretamente, o servio DNS deve estar disponvel na rede ou deveremos configur-lo durante a instalao do AD.

Instalar o Active Directory

Efetue logon em um servidor Windows 2000 com a conta Administrator (Administrador); Selecione Start (Iniciar), Run (Executar) e digite dcpromo. Tecle Enter; Caso o Terminal Services esteja instalado nesse servidor, ser exibida uma mensagem informando que depois da instalao do AD, somente as contas de usurios com a permisso de Administrador do domnio podero fazer logon remotamente utilizando o Terminal Services. Clique em OK; O Assistente de instalao do AD ser aberto. Clique em Next (Avanar); Defina agora se o servidor far parte de um novo domnio ou se o servidor far parte de um domnio j existente. Selecione a opo Domain controller for a new domain (Controlador de domnio para um novo domnio) e clique em Next (Avanar);

Instalar o Active Directory

Instalar o Active Directory

Na tela do prximo slides temos 2 opes:
Create a new domain tree (Criar uma nova rvore de domnio): selecionamos essa opo quando vamos criar o primeiro domnio (root) de uma empresa. Create a new child domain in an existing domain tree (Criar um novo domnio filho em uma rvore de domnio existente): selecionamos essa opo quando vamos criar um novo domnio filho em uma rvore de domnios j existente.

Selecione a opo Create a new domain tree (Criar uma nova rvore de domnio) e clique em Next (Avanar);

Instalar o Active Directory

Instalar o Active Directory

Defina agora se uma nova floresta ser criada (Create a new forest of domain trees) ou se o domnio que est sendo criado far parte de uma floresta j existente (Place this new domain tree in an existing forest). Selecione a opo Create a new forest of domain trees (Criar uma nova floresta de rvores de domnio) e clique em Next (Avanar);

Instalar o Active Directory

Instalar o Active Directory

Fornea o nome completo do domnio que ser criado.

Instalar o Active Directory

Defina agora o nome NETBIOS do domnio. O nome NETBIOS utilizado por questes de compatibilidade com clientes mais antigos.

Instalar o Active Directory

Defina agora o local onde sero gravadas as informaes do AD, como arquivos de log e base de dados do AD. recomendado que a partio na qual esses arquivos sero armazenados esteja formatado com o sistema de arquivos NTFS. Aceite a configurao padro e clique em Next (Avanar);

Instalar o Active Directory

Instalar o Active Directory

Defina o local onde a pasta SYSVOL ser criada. Essa pasta contem informaes essnciais para o funcionamento do AD e implementao das GPOs. Essa pasta deve ser criada em uma partio formatada com o sistema de arquivos NTFS. Aceite a configurao padro e clique em Next (Avanar);

Instalar o Active Directory

Instalar o Active Directory

Como no temos o servio DNS disponvel na rede, ser exibida uma mensagem informando que o Assistente no localizou um servidor DNS. Clique em OK; Agora selecione a opo Yes, install and configure DNS on this computer (Sim, instalar e configurar o DNS neste computador). Com isso o assistente ir instalar e configurar o servio DNS nesse servidor. Clique em Next (Avanar);

Instalar o Active Directory

Instalar o Active Directory

Defina agora o tipo de permisso padro utilizada para os objetos usurios e grupos. Existem 2 opes:

Permissions compatible with pre-Windows 2000 Servers (Permisses compatveis com servidores anteriores ao Windows 2000): essa opo deve ser selecionada quando existem servidores que rodem verses anteriores ao Windows 2000, ou servidores Windows 2000 membros de um domnio Windows NT. Com essa opo, o acesso annimo ser permitido no servidor. Permissions compatible only with Windows 2000 Servers (Permisses compatveis somente com servidores Windows 2000): essa opo deve ser selecionada quando todos os servidores rodarem verses do Windows 2000 ou superior. Com essa opo, o acesso ao servidor somente poder ser feito por usurios autenticados.

Selecione a opo Permissions compatible only with Windows 2000 Servers (Permisses compatveis somente com servidores Windows 2000) e clique em Next (Avanar);

Instalar o Active Directory

Instalar o Active Directory

Defina agora a senha que ser utilizada quando o servidor for inicializado no modo de restaurao do AD. Informe a senha 2 vezes e clique em Next (Avanar);

Instalar o Active Directory

Clique em Next (Avanar) novamente; Agora o assistente far todas as configuraes necessrias para que o AD seja instalado e o domnio manual70-215.com seja criado. Durante esse processo, o CD de instalao do Windows 2000 Server poder ser solicitado. Caso seje, insira o CD e clique em OK; Clique em Finish (Concluir).

Instalar o Active Directory

Aps a instalao do AD, algumas modificaes so feitas no servidor onde o AD foi instalado: O servidor promovido a Domain Controller (Controlador de Domnio). A pasta NTDS criada. Essa pasta armazena os arquivos de log do AD e a base da dados do AD. A pasta SYSVOL criada. Essa pasta contem informaes essncias para o funcionamento do AD e implementao das GPOs.

Instalar o Active Directory

Novos consoles para a administrao do AD so criados:

Active Directory Domains and Trusts (Domnios e confianas do Active Directory) : nesse console administramos as relaes de confiana criadas entre os domnios, configuramos o nvel de funcionalidade do domnio e gerenciamos o sufixo utilizado pelas contas de usurios. Active Directory Sites and Services (Sites e servios do Active Directory) : nesse console gerenciamos a replicao do Active Directory. Active Directory Users and Computers (Usurios e computadores do Active Directory) : nesse console administramos as contas e grupos de usurios, unidades organizacionais e GPOs. Domain Controller Security Policy (Diretiva de Segurana do Controlador de Domnio) : nesse console configuramos as polticas de segurana aplicadas nos Controladores de Domnio. Domain Security Policy (Diretiva de Segurana do Domnio) : nesse console configuramos as polticas de segurana do domnio.