Entendendo Active Directory
Pesquisas Acadêmicas: Entendendo Active Directory. Pesquise 862.000+ trabalhos acadêmicosPor: leia.mene • 23/2/2015 • 1.427 Palavras (6 Páginas) • 530 Visualizações
Entendendo Active Directory
Neste artigo, apresento e explico conceitos teóricos sobre os diversos elementos que compõem o Active Directory. Desta forma, podemos ter uma visão ampla e completa do que é exatamente o Active Directory.
O Active Directory é o serviço de diretórios do Windows Server 2003. Um Serviço de Diretório é um serviço de rede, o qual identifica todos os recursos disponíveis em uma rede, mantendo informações sobre estes dispositivos (contas de usuários, grupos, computadores, recursos, políticas de segurança etc.) em um banco de dados e torna estes recursos disponíveis para usuários e aplicações.
Afinal, o que é Diretório? Um diretório nada mais é do que um cadastro ou, melhor ainda, um banco de dados com informações sobre usuários, senhas e outros elementos necessários ao funcionamento de um sistema, quer seja um conjunto de aplicações no Mainframe, um grupo de servidores da rede local, o sistema de e-mail ou outro sistema qualquer.
Imagine uma empresa onde o usuário, para realizar o seu trabalho diário, tem que acessar aplicações e serviços em diferentes plataformas e modelos: No Mainframe, em aplicações cliente/servidor, sistemas de e-mail, intranet da empresa e além desta variedade de aplicações, você também precisa de acesso aos recursos básicos da rede, tais como pastas e impressoras compartilhadas.
Para piorar um pouco a situação, a senha do Mainframe expira, por exemplo, a cada 30 dias e não pode repetir as últimas 5 senhas. A da rede expira a cada 60 dias e não pode repetir as últimas 13. A do e-mail expira a cada 45 dias e ele não pode repetir as últimas 10. O que tem a ver este monte de senha com o conceito de Diretório? Tem muito a ver. Observe que em cada ambiente existe um banco de dados para cadastro do nome de usuário, senha e outras informações, como por exemplo seção, matrícula e assim por diante. Este banco de dados, com informações sobre usuários da rede, é um exemplo típico de diretório.
A proposta da Microsoft é que, aos poucos, as aplicações sejam integradas com o Active Directory. O que seria uma aplicação integrada com o Active Directory? Seria uma aplicação que, ao invés de ter o seu próprio cadastros de usuários, senhas e grupos (seu próprio diretório), fosse capaz de acessar as contas e grupos do Active Directory e atribuir as permissões de acesso diretamente às contas e grupos do Active Directory. Por exemplo, vamos supor que você utilize o Exchange 2003 como servidor de e-mail. Este é um exemplo de aplicação que já é integrada com o Active Directory. Ao instalar o Exchange 2003, este é capaz de acessar a base de usuários do Active Directory e você pode criar contas de e-mail para os usuários do Active Directory.
Chegará o dia do logon único, quando todas as aplicações forem ou diretamente integradas com o Active Directory, ou capazes de acessar a base de usuários do Active Directory e atribuir permissões de acesso aos usuários e grupos do Active Directory.
Domínio
O conjunto de servidores, estações de trabalho, bem como as informações do diretório, é que formam uma unidade conhecida como Domínio. Todos os servidores que contém uma cópia da base de dados do Active Directory fazem parte do domínio.
Um domínio pode também ser definido como um limite administrativo e de segurança. Ele é um limite administrativo, pois as contas de Administrador têm permissões de acesso em todos os recursos do domínio, mas não em recursos de outros domínios. Ele é um limite de segurança porque cada domínio tem definições de políticas de segurança que se aplicam às contas de usuários e demais recursos dentro do domínio e não a outros domínios. Um domínio baseado no Active Directory e no Windows Server 2003 é possível ter dois tipos de servidores Windows Server 2003:
. Controladores de Domínio (DC – Domain Controlers)
. Servidores Membro (Member Servers)
Um Domínio é simplesmente um agrupamento lógico de contas e recursos, os quais compartilham políticas de segurança.
A criação de conta de usuários, grupos de usuários e outros elementos do Active Directory, bem como alterações nas contas de usuários, nas políticas de segurança e em outros elementos do Active Directory, podem ser feitas em qualquer um dos Controladores de Domínios. Uma alteração feita em um DC será automaticamente repassada (o termo técnico é “replicada”) para os demais Controladores de Domínio. Por isso que o Domínio transmite a idéia de um agrupamento lógico de Contas de usuários e grupos, bem como de políticas de segurança, uma vez que todo o Domínio compartilha a mesma lista de usuários, grupos e políticas de segurança.
Nos Servidores Membros podem ser criadas contas de usuários e grupos, as quais somente serão validas no Servidor Membro onde foram criadas. Embora isso seja tecnicamente possível, essa é uma prática não recomendada,uma vez que isso dificulta enormemente a administração de um Domínio.
Os DCs compartilham uma lista de usuários, grupos e políticas de segurança e também são responsáveis por fazer a autenticação dos usuários na rede, já os servidores membros não possuem uma cópia da lista de usuário e grupos, estes não efetuam a autenticação dos clientes e também não armazenam informações sobre as políticas de segurança para o Domínio – as quais também são conhecidas por GPO – Group Policies Objects.
Os recursos de segurança são integrados com o Active Directory através do mecanismo de logon e autenticação. Todo usuário tem que fazer o logon (informar o seu nome de usuário e senha), para ter acesso aos recursos da rede. Durante o logon, o Active Directory verifica se as informações fornecidas pelo usuário estão corretas e então libera o acesso aos recursos para os quais o usuário
...