Desvendando o Active Directory no Windows 2003

Published on February 2018 | Categories: Documents | Downloads: 31 | Comments: 0 | Views: 340
of 4
Download PDF   Embed   Report

Comments

Content

Desvendando o Active Directory no Windows 2003 AD é um serviço de diretório na nossa rede Windows 2003 (Lembrando, um serviço de diretório é um conjunto de informações sobre os recursos e serviços que existem em nossa rede). Ele armazena dados sobre contas de usuários, grupos, computadores e recursos e disponibiliza essas informações para usuários e também para aplicativos. Ele pode armazenar um grande número de informações, sendo totalmente escalonável (pode começar com um pequeno número de objetos e crescer de acordo com nossa necessidade). Mas para que realmente eu vou usá-lo? Imagine que na sua empresa você tem cerca de 250 máquinas e cerca de 500 funcionários que trabalham em dois turnos diferentes, ou seja cada máquina é utilizada por no mínimo dois usuários. Como você não dispõe do Active Directory ainda, você terá que criar em cada máquina no mínimo 2 contas de usuário locais. OK OK, ainda é viável. Mas e se você tiver que instalar o Office 2003, configurar o internet explorer, aplicar uma série de politicas de segurança e mapear drives na rede para cada usuário? Agora ficou praticamente inviável. Calma, calma, eu sei que isso até poderia ser feito, mas pergunto a vocês, valeria realmente a pena? Ter todo o gerenciamento dos recursos de uma maneira tão descentralizada? Imagine o seu pesadelo toda vez que um usuário esquecesse a senha... Você teria que ir até o computador dele e resetar a senha dele. É muita perda de tempo para tão pouco resultado. O Active Directory é justamente a solução para todos esses problemas! Como ele armazena os nossos recursos centralmente, todas as contas de usuários poderiam ser armazenadas em um só local! E poderiamos gerenciar também as contas a partir desse local. Configurar tudo o que precisamos para os nosso usuários, controlar o que os usuários podem acessar, instalar todos os softwares que eles precisam, tudo a partir desse mesmo local. Fantástico não é? Sim, mas vamos com calma, que vocês vão se surpreender ainda mais! O que compõe o Active Directory? O diretório do Active Directory é composto por Objetos. Um objeto representa qualquer recurso que possuimos na rede. Uma conta de usuário que existe no Active Directory é um objeto, um grupo é um objeto, até uma impressora pode ser um objeto para o AD. Os dados que existem no diretório são armazenados em um arquivo chamado Ntds.dit, que é a base de dados do AD. Tudo o que criarmos no Active Directory é armazenado nessa base de dados. Quando dizemos que o Active Directory nos permite gerenciar os nosso recursos de maneira centralizada, estamos dizendo que como tudo está localizado em um só local, só precisamos ir até esse local para fazer o que precisamos. Objetos: Quando criamos um objetos no AD, por exemplo uma conta de usuário, a mesma possui certas propriedades, como por exemplo seu nome, seu nome de logon, telefone, endereço, entre outras. Essas propriedades são o que chamamos de atributos dos objetos. Os principais tipos de objetos que o Active Directory no Windows 2003 nos disponibiliza são: -

Contas de usuários Grupos Contas de computadores Pastas Compartilhadas Impressoras Contatos

Domínios:

1

O Active Directory é composto por domínios. Um domínio é uma unidade administrativa do Active Directory, que irá armazenar seus objetos. Por exemplo, nossa empresa (empresa1) tem a matriz localizada em São Paulo, com cerca de 180 funcionários. Poderiamos criar um domínio para são Paulo (empresa1.com.br) e a base de dados do AD desse domínio conteria os objetos que pertecem a São Paulo, como por exemplo as contas de usuário dos funcionários, os computadores dos funcionários, e as politicas de segurança relacionas à São Paulo. Quem cuidaria de tudo isso seria o Administrador de domínio de são Paulo, que poderia ser o nosso analista de São Paulo. Mas e se você tivesse uma outra empresa localizada em Fortaleza, por exemplo a "empresa2"? OK, você poderia criar um outro domínio para sua empresa de Forteza(empresa2.com.br), que conteria os objetos de Fortaleza, por exemplo as contas de usuários dos seus funcionários de Fortaleza, e esses objetos seriam administrados por uma outra pessoa, que nada tem a ver com o nosso analista de São Paulo. Muito simples, não é? Mas aqui já conseguimos ver dois conceitos fundamentais do Active Directory. Vimos que um domínio realmente pode ser uma unidade administrativa e que pode ser administrada de maneira centralizada. (Lembre-se quando eu falei que o administrador de São Paulo cuidaria de todos os objetos de São Paulo). E vimos também que os objetos de um domínio são específicos daquele domínio, ou seja no nosso exemplo as contas de usuários de São Paulo são armazenadas no domínio "empresa1.com.br", enquanto as de Fortaleza são armazenada lá (no domínio "empresa2.com.br"). Fortaleza não precisa nem saber da existência dos objetos de São Paulo pois temos duas empresas completamente distintas e vice-versa. Domain Controllers: Mas qualquer Servidor Windows 2003 pode ter o AD instalado? Basicamente sim, nas versões Standard Edition, Enterprise Edition e Datacenter Edition. A versão web Edition não pode ser configurada como domain controller. Quando estamos instalando o AD em um servidor Windows 2003, somos requisitados a fornecer um nome para o nosso domínio. Então chegamos a uma grande conclusão: Quando estamos instalando o Ad é que criamos o nosso domínio. Não é possível criar um domínio antes e depois instalar o AD no nosso servidor. Esse processo ocorre junto, no momento que estamos instalando o AD. E o nome que você irá colocar? Bom esse nome será o nome de seu domínio. Por exemplo, na nossa "Empresa1" , poderíamos criar o seu domínio como o nome de "empresa1.com.br" (ainda mais no caso da empresa ter presença na internet, vocês verão quão útil será criar o nome de seu domínio Windows 2003 com o nome de seu domínio na internet.). Mas você também poderia criar o seu domínio com qualquer outro nome, como por exemplo "empresa1", "leticia.empresa1" ou "sp.empresa1.com.br", qualquer nome que você deseja. DICA! No Windows 2003 é possível modificar o nome de seu domínio depois que ele já tenha sido criado, algo que não podíamos fazer com o Windows 2000. Se o o nome do nosso servidor Windows 2003 fosse "servidor1", depois que ele fosse promivod a domain controller, seu nome seria :"servidor1.empresa1.com.br", pois ele é um domain controller do domínio "empresa1.com.br". DICA! No Windows 2003 é possível modificar o nome de seu domain controller depois que ele já tenha sido promovido, algo que também não podíamos fazer no Windows 2000. Árvores: A definição de uma árvore é "um arranjamento hierárquivo de domínios". Quando criamos o nosso domínio, criamos também um árvore. O nome de nossa árvore será o mesmo nome que configuramos para o nosso domínio. Então o nome de nossa árvore será "empresa1.com.br". Mas para que serve tudo isso? Suponhamos que na nossa empresa,

2

existe uma filial ou um outro departamento que necessita configurações totalmente diferentes do nosso primeiro domínio. Então poderiamos criar um outro domínio para nosso departamento. Mas os objetos utilizados pelos dois domínios não serão comuns? Quem irá gerenciar os dois domínios provavelmente será o mesmo administrador? Se a resposta for sim para qualquer uma das perguntas, provavelmente o que precisamos não é de somente um novo domínio mas sim de um novo "Subdomínio". Um subdomínio é um domínio que está abaixo de outro domínio na hierarquia da árvore. (usamos também o termo "child domain" para o subdomínio). Então se departamento "depto1" fosse o nosso departamento que precisa de um subdomínio, poderiamos criar o subdomínio "depto1.empresa1.com.br". Para isso, usariamos um servidor (por exemplo o "servidor2") do departamento "depto1" e promoveriamos ele a domain controller, criando o domínio "depto1.empresa1.com.br". Só que agora, a instalação seria diferente. Ao invés de criar uma nova árvore (como tinhamos feito) vamos criar um "subdomínio para uma árvore já existente". O nome do nosso domain controller ficaria: "servidor2.depto1.empresa1.com.br". Porém também temos nossa outra empresa, a "empresa2". Não poderiamos colocar seu domínio na mesma árvore que a empresa1, pois as empresas possuem nomes distintos. Então a solução para nosso problema seria criar uma nova árvore para a empresa2 na nossa floresta. Pegariamos um servidor Windows 2003 na "empresa2" e promoveriamos ele a domain controller e configurariamos o nosso domínio como um nova árvore na floresta "empresa1.com.br". Depois de todas as configurações feitas, a nossa estrutura ficaria assim:

Florestas: Uma floresta Windows 2003 é composta de por uma ou mais árvores de domínios Windows 2003 que não compartilham um namespace comum. Um floresta é o limite mais externo do Active Directory. No nosso caso, temos uma árvore e dois domínios, todos participando da mesma floresta. Mas para ter uma floresta eu preciso de pelo menos uma árvore e um domínio certo? Sim! E quando a floresta é criada? Ela é criada quando criamos o nosso primeiro domínio. Quando pegamos o nosso servidor "Servidor1" e o promovemos a domain controller, criamos o domínio "empresa1.com.br" e ao mesmo tempo também criamos a árvore "empresa1.com.br" e a floresta "empresa1.com.br". O nome da floresta é o nome do primeiro domínio criado, o qual também chamamos de "forest root domain". Organizational Units: Para podermos entender a utilização de Organizational Units, vamos pensar em um exemplo simples: você tem os seus arquivos, o qual você coloca em pastas para organizá-los melhor, certo? Você pderia colocá-los direto na raiz de sua unidade? (por exemplo, colocar todos os seus aruivos direto em C:) Sim, poderia. Isso iria funcionar? Sim, iria funcionar. Mas isso seria funcional? Com certeza não. Tudo bem, você saberia onde estão seus arquivos, mas e até você encontrar o que você precisa? Levaria muito mais tempo dessa maneira do que se eles estivesse organizados em pastas específicas. A idéia de Organizational Units, ou como são mais conhecidas "OUs", é termos pastas para poder organizar melhor os objetos do domínio, poder aplicar configurações de segurança e delegar autoridade administrativa. Por exemplo, se na nossa empresa tivessemos cinco departamentos com mais ou menos 70 funcionários em cada um deles. Poderiamos colocar todas as contas de usuários, grupos, impressoras, e computadores diretamente no domínio. Mas e se precissásemos aplicar um

3

politica de segurança só para os funcionários do departamento de vendas? Teriamos de aplicar a configuração no domínio e ela sobrecairia em todos os objetos do domínio, o que não era o desejado. Mas poderiamos criar uma OU para o departamento vendas, colocar todos os objetos respectivos ao departamento vendas na OU e aplicar a politica de segurança na OU, o que nada afetaria os outros objetos do nosso domínio. Além disso, mesmo que não fosse necessário aplicar politicas de segurança específicas para os outros departamentos, poderiamos criar uma OU para cada departamento e colocar os objetos específicos nas OUs. Para visualizarmos as OU que existem em nosso domínio, utilizamos a feramente "Active Directory Users and Computers" que fica na pasta "Administrative Tools".

4

Sponsor Documents

Or use your account on DocShare.tips

Hide

Forgot your password?

Or register your new account on DocShare.tips

Hide

Lost your password? Please enter your email address. You will receive a link to create a new password.

Back to log-in

Close