Guia Completo sobre a Estrutura do Active Directory

Classificado em Computação

Escrito em em português com um tamanho de 15,14 KB

Funcionalidades do Serviço

O Active Directory fornece a funcionalidade de serviço de diretório como um meio de organizar, gerenciar e controlar centralizadamente o acesso aos recursos da rede.

Ele faz com que a topologia da rede física e os protocolos sejam ignorados.

É organizado em seções que permitem o armazenamento de um grande número de objetos.

Você pode estender o Active Directory conforme a organização cresce.

Fornece controle centralizado de acesso aos recursos da rede, permitindo que os usuários façam logon apenas uma vez para obter acesso completo aos recursos.

Lista de Objetos de Serviço

Os objetos representam recursos de rede.

Um único administrador central controla esses recursos em um banco de dados distribuído.

Quando você cria um objeto, as propriedades ou atributos que o descrevem são armazenados no diretório.

Os usuários podem encontrar objetos procurando por atributos específicos.

Uma importante função de alguns objetos é conter outros objetos.

Esquema do Serviço de Diretório

O esquema contém as definições de todos os objetos.

No Windows 2000, existe apenas um esquema.

Os dois tipos de definições de esquema são os atributos e as classes de objetos.

As classes de objeto descrevem os objetos de diretório que podem ser criados.

Cada classe é um conjunto de atributos.

Atributos são definidos independentemente das classes de objeto.

Cada atributo é definido apenas uma vez e pode ser usado em várias classes de objetos.

O banco de dados armazena o esquema do Active Directory.

O armazenamento em um banco de dados significa que o esquema:

  • Está dinamicamente disponível para os aplicativos do usuário; isso permite que os aplicativos leiam o esquema para descobrir quais objetos e propriedades estão disponíveis e podem ser usados.
  • É atualizável dinamicamente, de modo que um aplicativo pode estender o esquema com novos atributos e classes de objetos.
  • Pode utilizar as listas de permissões — Access Control Lists (DACL) — para proteger todos os tipos de objetos e atributos.

Active Directory: Estrutura Lógica e Física

No Active Directory, a estrutura lógica é diferente da estrutura física e ambas estão separadas.

A estrutura lógica é usada para organizar os recursos da rede, enquanto a estrutura física é usada para configurar e gerenciar o tráfego de rede.

A estrutura física define onde e quando ocorrem o tráfego de logon e a replicação.

A estrutura lógica é flexível e proporciona um método para projetar uma hierarquia de diretórios.

Os componentes da estrutura lógica incluem:

  • Domínios
  • Unidades Organizacionais (OU)
  • Árvores
  • Florestas

Domínio

É a unidade central da estrutura lógica do Active Directory.

É um conjunto de computadores definidos por um administrador que compartilham um banco de dados de diretório comum.

Um domínio tem um nome único e oferece acesso centralizado às contas de usuário e contas de grupo mantidas pelo administrador do domínio.

Em uma rede, o domínio serve como um limite de segurança.

O objetivo é garantir que um administrador de domínio tenha as permissões necessárias para a administração apenas nesse domínio, a menos que lhe seja explicitamente concedido acesso a um domínio adicional.

Todos os domínios têm suas próprias políticas de segurança e relações de confiança com outros domínios.

Os domínios são também unidades de replicação.

Uma unidade de replicação significa que todos os controladores de domínio recebem as alterações de informações em seu próprio domínio, replicando-as para outros controladores no mesmo domínio.

Depois de instalar o Active Directory e criar um domínio, ele opera no modo misto como padrão.

Um domínio de modo misto é compatível com todos os controladores de domínio.

O Active Directory é instalado no modo misto para fornecer compatibilidade com controladores de domínio existentes.

Quando todos os controladores estiverem atualizados para o Windows 2000 ou superior, você poderá converter seu domínio de modo misto para o modo nativo.

Algumas funções exigem que o domínio do Active Directory esteja em modo nativo.

Alterar do modo misto para o modo nativo é um processo unidirecional.

Árvores e Florestas

O primeiro domínio do Windows criado é chamado de domínio raiz da floresta.

O domínio raiz da floresta é importante pelas seguintes razões:

  • Referimo-nos à floresta pelo nome do seu domínio raiz. Renomear o Active Directory significa remover todos os controladores de domínio.
  • Domínios adicionais são adicionados à raiz para formar a estrutura de árvores e florestas.
  • Os painéis são criados para gerenciar o Active Directory somente no domínio raiz da floresta.
  • No domínio raiz da floresta, devem existir as funções de mestre de operações de esquema e mestre de nomeação de domínios.

Uma árvore é um arranjo hierárquico de domínios Windows que compartilham um espaço de nomes contíguo.

Quando você adiciona um domínio a uma árvore existente, o novo domínio torna-se um domínio filho do domínio existente.

O nome de domínio combina-se com o nome do domínio DNS primário.

Todo domínio secundário tem uma relação de confiança transitiva e bidirecional com seu domínio pai.

Uma floresta é composta por uma ou mais árvores.

As árvores de uma floresta não compartilham necessariamente um espaço de nomes contíguo.

As árvores em uma floresta compartilham um esquema, um contexto de configuração e um catálogo global comum.

Uma única árvore que não está relacionada a outra é considerada uma floresta de uma única árvore.

Todo domínio raiz de uma árvore tem uma relação de confiança transitiva com o domínio raiz da floresta.

O nome do domínio raiz da floresta é usado para se referir a uma floresta específica.

Cada árvore em uma floresta mantém seu próprio espaço de nomes.

Relação de Confiança

A confiança é um elo de comunicação segura entre domínios.

Uma relação de confiança bidirecional significa que existem duas rotas de confiança indo em direções opostas entre os dois domínios.

Uma relação de confiança transitiva significa que a confiança estendida a um domínio é automaticamente estendida a todos os outros domínios que confiam nele.

Uma relação de confiança transitiva bidirecional é o padrão entre domínios na mesma floresta no Windows.

Essa relação é uma combinação de confiança transitiva e bidirecional.

Unidade Organizacional (OU)

Uma Unidade Organizacional é um objeto usado para organizar os objetos de um domínio.

Uma OU pode conter objetos ou até mesmo outras unidades organizacionais.

Você pode usar OUs para agrupar objetos em uma hierarquia lógica que melhor se adapte às necessidades da organização.

A hierarquia das unidades organizacionais em um domínio é independente.

Cada domínio pode implementar sua própria hierarquia de OU.

Você pode delegar controle administrativo sobre os objetos em uma OU.

Para delegar o controle, atribuem-se permissões específicas a um ou mais grupos de usuários para a OU e os objetos que ela contém.

É possível atribuir controle total ou limitado sobre os objetos na unidade.

Catálogo Global

O Catálogo Global é um repositório de informações que contém um subconjunto de atributos de todos os objetos no Active Directory.

Os atributos armazenados no catálogo global são os mais frequentemente utilizados em consultas.

O catálogo global contém as informações necessárias para determinar a localização de qualquer objeto no diretório.

Ele permite aos usuários realizar três funções principais:

  • Encontrar informações do Active Directory em toda a floresta, independentemente da localização dos dados.
  • Usar informações de membros de grupos universais para fazer logon na rede.
  • Fazer logon usando um nome principal de usuário (UPN) em diferentes domínios da floresta.

Um servidor de catálogo global é um controlador de domínio que processa consultas contra o catálogo global.

O primeiro controlador de domínio criado no Active Directory torna-se automaticamente um servidor de catálogo global.

Você pode configurar outros servidores para equilibrar o tráfego de autenticação e consulta.

O catálogo global:

  • Torna a estrutura de diretórios de uma floresta transparente para os usuários que realizam buscas.
  • Contém as permissões de acesso para cada objeto e atributo armazenado nele.

Estrutura Física

A estrutura física do Active Directory define onde e quando ocorrem a replicação e o tráfego de logon.

É essencial entender os componentes físicos para otimizar o tráfego de rede e o processo de logon.

Os controladores de domínio e os sites compõem a estrutura física do Active Directory.

Controlador de Domínio (Domain Controller)

Um controlador de domínio é um computador executando o Windows Server que armazena uma réplica do diretório.

Ele gerencia as alterações feitas nas informações de diretório e as replica para outros controladores no mesmo domínio.

Armazena dados do diretório e gerencia os processos de logon, autenticação e pesquisas de diretório.

Um domínio pode ter um ou mais controladores de domínio.

O banco de dados do Active Directory é dividido em três partições chamadas Contextos de Nomeação:

  • Contexto de Nomes de Domínio: Contém todos os objetos e atributos de objetos em um domínio.
  • Contexto de Nomeação de Configuração: Contém informações sobre as relações de confiança da floresta.
  • Contexto de Nomeação de Esquema: Define todos os objetos e propriedades que podem ser criados no banco de dados.

Os controladores de domínio replicam qualquer mudança no contexto de nomes de domínio entre si.

Os controladores em uma floresta replicam automaticamente quaisquer alterações nos contextos de esquema e configuração.

A replicação garante que todas as informações do Active Directory estejam disponíveis para todos os controladores e clientes na rede.

O Active Directory usa um modelo de replicação multimestre.

Neste modelo, cada controlador armazena uma cópia gravável do banco de dados e gerencia as atualizações em sua própria cópia.

Quando uma atualização é executada, ela é replicada para todos os controladores do domínio.

No entanto, os controladores podem conter informações diferentes por breves períodos até que todos sincronizem as alterações.

Como é inviável fazer certas alterações via replicação multimestre, existem operações de mestre único atribuídas a controladores específicos.

Sites

Um site é uma combinação de uma ou mais sub-redes IP conectadas por um link de alta velocidade.

Na definição da topologia, configuram-se locais de aplicação e acesso para que os programas do Windows usem os links mais eficazes para logon e replicação.

Os sites são criados por duas razões:

  • Para otimizar o tráfego de replicação.
  • Para permitir que usuários se conectem a um domínio utilizando uma conexão de rede confiável para autenticação e logon.

Os sites são atribuídos à estrutura física da rede, enquanto os domínios pertencem à estrutura lógica.

Ambas são independentes, portanto:

  • Não há necessariamente correlação entre a estrutura física da rede e a estrutura de domínios.
  • O Active Directory permite múltiplos domínios em um único site e múltiplos sites em um único domínio.
  • Não há necessariamente correlação entre os espaços de nomes de sites e domínios.

Recursos de Domínio

Um domínio é um grupo lógico de computadores em rede que compartilham uma área comum para armazenar informações de segurança.

Ele fornece uma abordagem centralizada para gerenciar recursos de rede.

Os usuários podem acessar compartilhamentos em outros computadores do domínio, desde que possuam as permissões adequadas.

O conceito de domínio é superior ao de grupo de trabalho (workgroup), oferecendo características úteis:

  • Single Sign-On (SSO): Processo de logon único para acessar diversos recursos. Todas as contas são armazenadas centralmente.
  • Conta de Usuário Única: O usuário precisa de apenas uma conta para acessar recursos em vários computadores.
  • Gerenciamento Centralizado: Todas as informações de conta e recursos podem ser geridas de um único local.
  • Escalabilidade: Domínios podem ser escalados para grandes redes mantendo a mesma forma de gestão.

Vantagens de um domínio:

  • Organização de Objetos: Podemos organizar objetos em unidades organizacionais que representam componentes físicos reais.
  • Facilidade em Localizar Informações: Publicar um recurso significa disponibilizá-lo na lista de objetos do domínio para os usuários.
  • Acesso Simplificado: A implementação de Políticas de Grupo (GPO) define como os usuários acessam e configuram recursos, consolidando a segurança.
  • Autoridade Delegada: Permite que um administrador atribua privilégios para gerenciar objetos em domínios ou OUs específicas.
Karma: -6%
Visitas: 0

Entradas relacionadas:

Etiquetas:
quais os tipos de objetos podemos controlar no active directory qual a estrutura de um ad?Qual a relação de florestas, arvores,etc? qual a relaçao entre dominio floresta arvores raiz Estrutura lógica e física do active directory topologia de active directory com dominio adicional usar ad para controlar acesso banco de dados catálogo global/estrutura física do ad o que quer dizer controle do dominio do active directory floresta única com várias árvores e namespaces não contíguos gerenciando um dominio com o active directory servidores de catálogo global podem ser configurados para equilibrar o tráfego de autenticação de logon e consultas controladores de dominio active directory nao estao disponiveis componentes fisicos do active directory links active directory armazena subconjunto atributos active directory recursos de rede O que são objetos lógicos do Active Directory? permissão de escrita em atributo de objeto do ad os controladores de domínio do active directory não estão disponíveis atualmente servidores de catálogo global podem ser configurados para equilibrar o tráfego de Estrutura lógica e física do A.D. active directory Definições de esquema