MONOGRAFIA Implantação e Estudo de Um Sistema Utilizando o Active Directory

ANDERSON VIGNATTI
IMPLANTAO E ESTUDO DE UM SISTEMA UTILIZANDO O ACTIVE

DIRECTORY
Monografia de graduao apresentada ao Departamento

de Cincia da Computao da Universidade Federal de
Lavras como parte das exigncias do curso de Cincia
da Computao para obteno do ttulo de Bacharel em
Cincia da Computao.
LAVRAS
MINAS GERAIS - BRASIL
2007
ANDERSON VIGNATTI

DIRECTORY

Cincia da Computao.
rea de Concentrao:
Redes de Computadores
Orientador:
Prof. Luiz Henrique Andrade Correia
LAVRAS
MINAS GERAIS - BRASIL
2007
ii
Ficha Catalogrfica preparada pela Diviso de Processos Tcnicos da Biblioteca

Central da UFLA
Vignatti, Anderson
Implantao e estudo de um sistema utilizando o Active Directory / Anderson Vignatti. Lavras
Minas Gerais, 2007
Monografia de Graduao Universidade Federal de Lavras. Departamento de Cincia da
Computao.
1. Redes de Computadores. 2. Windows Server 2003 (Active Directory). 3. O protocolo
LDAP. 3. Modelo de redes Workgroups. 4. Modelo de redes Domnio. I. VIGNATTI, A. II.
Universidade Federal de Lavras. III. Ttulo.
iii
ANDERSON VIGNATTI

DIRECTORY

Cincia da Computao.
Aprovada em 30 de maro de 2007
_________________________________________________
Prof. Marluce Pereira Rodrigues
_________________________________________________
Prof. Thiago de Souza Rodrigues
_________________________________________________
Prof. Luiz Henrique Andrade Correia
(orientador)
LAVRAS
MINAS GERAIS BRASIL
2007
iv
A Deus primeiramente, aos meus pais Angelo e

Guanair, a minha noiva Vanessa, a minha irm
Andria Vignatti e ao meu irmo Adriano
Vignatti e meus amigos.
Agradecimentos
Agradeo primeiramente a Deus, que se no fosse pela tua vontade nada teria se
realizado.
Aos amigos de turma, pelas alegrias e tristezas compartilhadas, mas que acima de tudo, os
momentos inesquecveis ficaro guardados para sempre.
Agradeo a todos que me apoiaram e ajudaram durante toda minha graduao, sem os
quais eu no poderia ter realizado este trabalho.
Ao meu amor, Vanessa, por todo apoio e incentivo.
Aos meus pais e familiares, que sempre me incentivaram durante a minha jornada.
A todos meus amigos do Centro de Informtica (CinUfla), companheiros de trabalho,
especialmente aos meus chefes Luiz e Anderson.
Ao meu orientador Luiz Henrique Correia por me guiar durante a elaborao deste
trabalho.
A todos os professores do DCC, que contriburam para minha formao profissional.
vi

DIRECTORY
RESUMO
A evoluo no tratamento de informaes veio a revolucionar o mundo em que
vivemos, abrindo as fronteiras com novas formas de comunicao e permitindo maior
eficincia dos sistemas computacionais.
As redes de computadores so uma realidade nesse contexto e tambm fazem parte

de todo esse processo. Como resultado, os sistemas operacionais de rede se aperfeioaram
e passaram a gerar muito mais que simples arquivos de rede e servios de impresso. Eles
agora necessitam de um gerenciamento transparente das relaes entre os recursos de rede
distribudos e seus usurios.
Portanto, o aumento no tamanho das redes e as constantes mudanas pelas quais as

mesmas esto inseridas, fizeram com que as pessoas e as organizaes de modo geral,
passassem a necessitar de servios que disponibilizem um acesso cada vez mais
transparente. Contudo, surge necessidade de trabalhar com uma base de dados
centralizada, possibilitando a simplificao do gerenciamento; fortalecendo a segurana;
aumentando a interoperabilidade, dentre outros benefcios que tragam mais facilidade em
criar e manipular essas informaes.
Um problema bastante usual em empresas o de criar um sistema unificado de

autenticao. Com a interao do protocolo LDAP ao Active Directory pode garantir que
todos os usurios dessa empresa possam ter suas contas de acesso unificadas em um
domnio. Uma opo que pode ser disponibilizada ao usurio permitir a interao entre
um servidor Windows e um computador Linux (usurio), possibilitando um maior nmero
de usurios na rede e maior utilizao de softwares livres. Essa interao s realizada
mediante os dois sistemas operacionais utilizarem o mesmo padro de protocolos, o LDAP.
Este trabalho faz tambm uma breve descrio de outros softwares de rede que utilizam o
protocolo LDAP.
Palavras-chaves: Redes de Computadores, Windows Server 2003 (Active Directory), O
protocolo LDAP, Modelo de redes Workgroups, Modelo de redes Domnio.
vii
IMPLANTATION AND STUDY OF A SYSTEM USING THE ACTIVE

DIRECTORY
ABSTRACT
The evolution in the treatment of information came to revolutionize the world
where we live, opening the borders with new forms of communication and allowing bigger
efficiency of the computational systems.
The computer networks are a reality in this context and also they are part of all this
process. As result, the operational systems of net if had perfected and started to generate
much more that simple archives of net and services of impression. They now need a
transparent management of the relations between the resources of net distributed and its
users.
Therefore, the increase in the size of the nets and the constant changes for which the
same ones are inserted, had made with that the people and the organizations in general
way, started to need services that disponibilizem an access each more transparent time.
However, it appears to the necessity to work with a database centered, making possible the
simplification of the management; fortifying the security; increasing the interoperabilidade,
amongst other benefits that bring more easiness in creating and manipulating these
information.
A sufficiently usual problem in companies is to create a unified system of

authentication. With the interaction of protocol LDAP to Active Directory it can guarantee
that all the users of this company can have its unified accounts of access in a domain. An
option that can be disponibilizada to the user is to allow to the interaction between a
Windows server and a Linux computer (using), making possible a bigger number of users
in the net and greater free use of softwares. This interaction alone is carried through by
means of the two operational systems to use standard of protocols, the LDAP the same.
This work also makes one brief description of others softwares of net that use protocol
LDAP.
Key-Words: Computer networks, Windows Server 2003 (Active Directory), protocol
LDAP, Model of Workgroups networks, Model of networks domain.
viii
SUMRIO
LISTA DE SIGLAS....................................................................................................................................... XI
1 INTRODUO ............................................................................................................................................ 1
1.1 OBJETIVOS ............................................................................................................................................... 2
1.2 MOTIVAO ............................................................................................................................................ 3
1.3 ESTRUTURA DO TRABALHO...................................................................................................................... 4
2 O PROTOCOLO LDAP .............................................................................................................................. 5
2.1 HISTRICO ............................................................................................................................................... 5
2.2 CARACTERSTICAS ................................................................................................................................... 6
2.3 APLICAES DO LDAP............................................................................................................................ 7
3 ACTIVE DIRECTORY............................................................................................................................ 10
3.1 DNS 12
3.2 CAMADAS DE ESTRUTURA LGICA DO ACTIVE DIRECTORY................................................................... 14
3.2.1 Domnios....................................................................................................................................... 14
3.2.2 Objetos do Active Directory ......................................................................................................... 16
3.2.3 Unidades Organizacionais (UOs).................................................................................................. 16
3.2.4 rvore ........................................................................................................................................... 18
3.2.5 Floresta.......................................................................................................................................... 19
3.2.6 Relao de confiana .................................................................................................................... 20
3.2.7 Esquema do AD ............................................................................................................................ 21
3.2.8 Integrao do DNS ao Active Directory ....................................................................................... 22
3.3 TRANSFORMANDO UMA REDE DE MODELO WORKGROUPS PARA MODELO DOMNIO ............................ 23
3.4 AUTENTICAO NO AD......................................................................................................................... 25
3.5 CRIANDO GRUPOS DE USURIOS E DEFININDO DIRETIVAS POR GRUPOS. ............................................... 26
3.6 PASTAS COMPARTILHADAS ................................................................................................................... 31
4 UTILIZAO DO PROTOCOLO LDAP NO ACTIVE DIRECTORY .............................................. 33
4.1 SUPORTE DO LDAP AO AD ................................................................................................................... 33
4.2 AUTENTICANDO UM USURIO LINUX NO WINDOWS SERVER 2003 ........................................................ 34
5 APLICAES PRTICAS ...................................................................................................................... 36
5.1 OBJETIVO .............................................................................................................................................. 36
5.2 DESCRIO DO PROBLEMA .................................................................................................................... 36
5.3 INSTALAO DO AD.............................................................................................................................. 36
5.3.1 Exemplos de aplicao 1: DRCA.................................................................................................. 40
5.3.2 Exemplo de aplicao 2: Laboratrio Institucional....................................................................... 42
6 CONCLUSO ............................................................................................................................................ 44
7 TRABALHOS FUTUROS......................................................................................................................... 46
8 REFERNCIAS BIBLIOGRFICAS..................................................................................................... 47
ix
NDICE DE FIGURAS
Figura 2-1 Alguns servios que o protocolo LDAP fornece suporte. (Fonte: www.ldap.org) .......................... 9
Figura 3-1Exemplo do funcionamento do DNS. (Fonte: Autor) ..................................................................... 13
Figura 3-2 Exemplo de um domnio. (Fonte: Macromedia, Inc- Flash Player)............................................... 15
Figura 3-3Criao de unidades Organizacionais dentre de um Domnio. (Fonte: Macromedia, Inc- Flash
Player) ............................................................................................................................................................. 17
Figura 3-4 Exemplo de uma rvore de Domnio compartilhando o mesmo nome.(Fonte: Macromedia, IncFlash Player).................................................................................................................................................... 19
Figura 3-5 Exemplo de uma Floresta. (Fonte: Macromedia, Inc- Flash Player).............................................. 20
Figura 3-6Exemplo de uma relao de confiana. (Fonte Windows Server 2003 A Bblia)........................... 21
Figura 3-7Exemplo de uma rede baseada no modelo Workgroups. (Fonte : Julio Battisti, 2002). ................. 24
Figura 3-8Uma rede baseada no conceito de Diretrio - Domnio. (Fonte: Julio Battisti, 2002) .................... 25
Figura 3-9Criando permisses especiais a usurio. (Fonte: Tulloch, 2005).................................................... 28
Figura 3-10 O usurio herda as permisses do grupo. (Fonte: Julio Battisti)................................................. 29
Figura 5-1 Compatibilidade de sistema operacional. (Fonte: instalao do AD no servidor) ......................... 38
Figura 5-2 Controlador de domnio. (Fonte : instalao do AD no servidor).................................................. 39
LISTA DE SIGLAS
ACE- Access Control Entries
AD- Active Directory
DNS- Domain Name System
LDAP- Lightweight Directory Access Protocol
TCP- Transmission Control Protocol
IP- Internet Protocol
DAP- Directory Access Protocol
OSI- Open Source Initiative
ISODE- International Organization for Standardization Development Environment
ITU- International Telecommunications Union
IETF- Internet Engineering Task Force
ADSI- Active Directory System Interface
URL- Universal Resource Locator
UOs- Unidades Organizacionais
DHCP- Dynamic Host Configuration Protocol
DC- Domain Controler
xi
SO- Sistema Operacional
WAN- Wide Area Network
LAN- Local Area Network
MSI- Microsft Sistem Installer
xii
1 . INTRODUO
No mundo globalizado, as informaes sobre pessoas, aplicaes e recursos se
espalham pela maioria dos sistemas de informao e continuam se ploriferando. Como
resultado, os sistemas operacionais de rede precisam gerar muito mais que simples
arquivos de rede e servios de impresso. Agora, necessitam de um gerenciamento
transparente dos recursos de rede distribudos. O sistema operacional Microsoft Windows
Server, com seu servio integrado de diretrio ativo (Active Directory), deixam as redes
mais fceis de usar, facilitam o gerenciamento da rede.
Em uma rede que utiliza como o software de rede Microsoft Windows Server, o
Active Directory (AD) o elemento central, fundamental, sobre o qual planejada e
implementada uma infra-estrutura de rede, sendo o seu elemento principal. O AD
utilizado para centralizar a administrao da rede, devido a grande dificuldade que se tem
de trabalhar com a base de dados de usurio descentralizado e por reconhecer que
indispensvel um melhor gerenciamento dos recursos para os usurios.
Os sistemas distribudos freqentemente conduzem a uma administrao demorada

e redundante. Como as companhias acrescentam aplicaes sua infra-estrutura e
contratam mais pessoal, eles precisam distribuir software adequadamente para a rea de
trabalho e administrar diretrios de aplicaes mltiplas. O Active Directory permite s
companhias baixar, significativamente, os custos com gerenciamento, gerando um nico
espao para os usurios, grupos e recursos de rede, bem como distribuir software e
administrar configuraes da rea de trabalho do usurio.
A segurana integrada ao Active Directory atravs da autenticao de logon e

controle de acesso a objetos no diretrio. Com um nico logon na rede, os administradores
podem gerenciar a organizao e os dados de diretrio em suas redes. Desta forma, os
usurios de rede autorizados podem acessar recursos em qualquer lugar da rede. A
administrao com base em diretivas facilita o gerenciamento at mesmo das redes mais
complexas. As permisses de acesso sero atribudas aos usurios e grupos do Active
Directory. Esta abordagem de um diretrio nico tem inmeras vantagens: O logon nico e
o fato de que atualizaes feitas no diretrio j so feitas automaticamente em todas as

aplicaes, uma vez que o diretrio nico.
Um problema bastante usual em empresas o de criar um sistema unificado de

autenticao. Com a interao do protocolo LDAP ao Active Directory pode-se garantir
que todos os usurios dessa empresa tero suas contas de acesso cadastradas em um nico
servidor. Com a autenticao unificada, um conjunto de mquinas compartilham
informaes diversas para identificar e validar a identidade dos usurios, facilitando o
trabalho de usurios e administradores de um sistema distribudo. Atualmente, programas e
linguagens de programao tm suporte ao protocolo LDAP(Lightweight Directory Access
Protocol). O LDAP pode exercer um papel vital em redes de todos os tamanhos.
Este trabalho um resultado de experincia prtica, onde so mostrados todos os

passos que foram efetuados, desde a instalao do AD, criando um DNS (Domain Name
System), que ser o n raiz desta rvore e o domnio. A instalao de alguns servios do
Windows Server 2003, proporcionam maior eficincia ao administrador deste domnio.
Dessa forma, apresentamos algumas caractersticas da principal ferramenta do Server
2003, que o Active Directory. Neste trabalho abordamos a interao do protocolo LDAP
com o Active Directory. No captulo 2 mostraremos sua histria, os servios do Active
Directory, citaremos outras ferramentas que utilizam o protocolo LDAP.
1.1 Objetivos
O principal objetivo deste trabalho centralizar a administrao da rede, utilizando
a principal ferramenta do Windows Server 2003, o Active Directory; para gerenciar todos
os computadores de um domnio.
Apresentar os principais benefcios que o AD pode trazer para as redes,

transformando um modelo de rede Workgroups para um modelo de rede
Domnio.
2
Os objetivos secundrios deste trabalho so:
Estudar como estabelecida a comunicao entre um computador cliente,

utilizando um sistema operacional Linux, e um servidor, utilizando o
sistema operacional Windows Server 2003, com a sua principal ferramenta
Active Directory.
1.2 Motivao
Na migrao das redes Windows Workgroups para domnio, apenas usurios
autenticados podem logar neste domnio. Essa autenticao aumenta a segurana da rede,
evitando que usurios no cadastrados venham a utilizar o sistema. Os usurios
cadastrados no sistema tm a facilidade de logar em qualquer computador deste domnio.
Entretanto, necessrio um login e uma senha para que o usurio tenha as permisses a ele
concedidas pelo administrador.
Devido a grande dificuldade que se tem de trabalhar com a base de dados de

usurios descentralizada e por reconhecer que indispensvel um melhor gerenciamento
dos recursos da rede para os usurios, vislumbramos a soluo de administrar a rede por
meio do AD. Com a administrao da rede centralizada, podemos criar grupos de usurios
sendo que cada grupo possuir diretivas ou polticas adotadas pela empresa. A
administrao do sistema pode permitir e fornecer acesso a esses grupos. Ao cadastrarmos
o usurio em determinado grupo, ele passar a ter os privilgios deste determinado grupo,
podendo ser cadastrado em mais de um grupo.
A implantao do AD ir permitir a interao entre os sistemas operacionais Linux

e Windows, permitindo um nmero maior de usurios trabalharem no mesmo domnio,
alm da maior disseminao de softwares livres.
1.3 Estrutura do trabalho

Este trabalho dividido em 5 captulos, descritos a seguir.
No captulo 2, descrevemos o principal protocolo que utilizado pelo AD,

protocolo LDAP. Apresentamos sua definio, vantagens, desvantagens e outras empresas
que utilizam o padro protocolo LDAP.
No captulo 3, mostramos a principal ferramenta do Windows Server 2003, AD.

Apresentamos as vantagens da transformao de uma rede Workgroups para uma rede
Domnio e a interao do DNS ao AD. Mostramos tambm as camadas de estrutura lgica
do AD, a maneira como o AD apresentado aos administradores e usurio e outros
servios que o AD utiliza para uma melhor administrao da rede.
No captulo 4, mostramos a utilizao do protocolo LDAP no AD e algumas

verses do protocolo LDAP que o AD tem suporte. Apresentamos como feita a
autenticao de um usurio Linux no Windows Server 2003, criando uma comunicao
entre um computador cliente, utilizando um sistema operacional Linux, e um servidor,
utilizando o sistema operacional Windows Server2003.
No captulo 5, mostramos algumas aplicaes prticas que o AD nos proporciona,

como a criao e o gerenciamento de um laboratrio institucional.
2 . O PROTOCOLO LDAP
O protocolo LDAP (Lightweight Directory Access Protocol) empregado para
acessar servios de diretrio, ou seja, uma definio de protocolo para acesso a bancos de
dados especializados nos chamados diretrios.
Segundo (Allem e Puckett, 2002), o LDAP pode ser usado em qualquer tipo de rede
TCP/IP (Transmission Control Protocol / Internet Protocol) sendo um padro aberto e que,
permite que existam produtos para vrias plataformas. O LDAP organiza os recursos da
rede de forma hierrquica, como uma rvore de diretrios, na qual temos primeiramente
um diretrio raiz, em seguida a rede da empresa, o departamento e por fim o computador
do funcionrio e os recursos de rede (arquivos, impressoras e outros) compartilhados por
ele.
2.1 Histrico
No incio da dcada de 80 para criar um servio de mensagens (a srie X.400), ou
seja, um protocolo que especifica servios do tipo store-and-forward, houve a necessidade
de desenvolver um protocolo que organizasse as entradas em um servio de nomes de
forma hierrquica, capaz de suportar grandes quantidades de informao e com uma
enorme capacidade de procura de informao. Esse servio criado pela Universidade de
Michigan, com apoio do Consortium do ISODE (International Organization for
Standardization Development Environment), foi apresentado em 1988. Ele especificava a
comunicao entre o cliente e o servidor do Diretrio que usava o DAP (Directory Access
Protocol) e era executado sobre a pilha de protocolos do modelo OSI (Open Source
Initiative). O DAP um protocolo complexo, que roda sobre uma camada OSI completa, e
precisa de uma quantidade significante de recursos computacionais para ser executado.
O X.500 um Servio de Diretrio universal padronizado pela ITU (International

Telecommunications Union), com o objetivo de definir a ligao entre Servios de
Diretrios locais para assim formar um diretrio global distribudo. O fato do protocolo
X.500 ser muito complexo e de custo incompatvel, levou os pesquisadores da
Universidade de Michigan a criar um servidor LDAP (Lightweight Directory Access
Protocol).
Em 1993 o LDAP foi ento apresentado como alternativa ao protocolo DAP para
acesso a Diretrios baseados no modelo X.500. O LDAP roda diretamente sobre o TCP e
fornece a maioria das funcionalidades do DAP, a um custo muito menor. Foi
implementado pela primeira vez na prpria universidade de Michigan. Esse grupo de
pesquisadores disponibilizou o cdigo fonte do protocolo LDAP na Internet e criou listas
de discusso para divulgar e aperfeioar o novo servio, sendo a sua evoluo
acompanhada por pessoas do mundo inteiro.
O LDAP foi reconhecido como um padro da IETF (Internet Engineering Task
Force), em Dezembro de 1997, o IETF lanou a verso trs do LDAP como proposta
padro Internet para Servios de Diretrio.
2.2 Caractersticas
Conforme (Bialaski, 2000), uma das principais vantagens do LDAP a facilidade
em localizar informaes e arquivos disponibilizados. Pesquisando pelo sobrenome de um
funcionrio possvel localizar dados sobre ele, como telefone, departamento onde
trabalha, projetos em que est envolvido e outras informaes includas no sistema, alm
de arquivos criados por ele ou que lhes faam referncia. Cada funcionrio deve ter uma
conta de acesso no servidor LDAP, para que possa cadastrar informaes sobre si e
compartilhar arquivos.
As informaes do LDAP esto guardadas segundo uma estrutura em rvore e

raramente se efetuam atualizaes. O servidor est otimizado para responder a um grande
nmero de pesquisas e tem um alto nvel de segurana.
O LDAP centraliza toda a informao trazendo assim enormes benefcios, como por
exemplo, um nico ponto de administrao e menor duplicao de dados. Alm disso,
utiliza um mecanismo de replicao que funciona de forma hierrquica, passando de pai
para filho. O n pai tem privilgios sobre o n filho, logo, o n pai pode conceder e
remover privilgios. Ele fornece um mecanismo de segurana tanto para a autenticao,
quanto para troca de dados.
Atualmente, vrias aplicaes tm suporte para LDAP, uma delas a principal

ferramenta do sistema operacional Windows Serve 2003. O LDAP vem sendo usado cada
vez mais por administradores de rede porque as suas caractersticas e as suas vantagens em
muitos casos compensam a sua complexidade. A prova disso que cada vez mais
aplicaes e sistemas operacionais possuem suporte para LDAP. Apesar disso, o LDAP
apresenta algumas restries, como:
Em alguns casos no substitui as Bases de Dados Relacionais.
As atualizaes so raramente efetuadas.
Permite o armazenamento confivel somente de dados estticos.
No possvel relacionar dois atributos, visto que no se trata de uma Base de
Dados Relacionais, mas sim de uma base de dados estruturada hierarquicamente.
O LDAP pode ser utilizado em vrias aplicaes como mostrado a seguir.
2.3 Aplicaes do LDAP

Segundo (Kanies, 2001), para compreender porque e como o LDAP est sendo uma
ferramenta to importante na vida de um administrador da rede, necessrio compreender
como as dificuldades de administrar uma rede com uma base de dados descentralizada e
como o protocolo LDAP pode ser muito til para uma eficiente administrao da rede. Isto
significa que, o LDAP pode ser visto como uma tecnologia e como uma ferramenta.
Vrias grandes empresas participaram do desenvolvimento de aplicaes que

empregam o LDAP, entre elas:
Apache (atravs do Apache Directory Server)
Apple (atravs do Open Directory/OpenLDAP)
AT&T
Banyan
eB2Bcom (atravs do View500)
Hewlett-Packard
IBM/Lotus
ISODE (atravs do M-Vault server)
Microsoft (atravs do Active Directory)
Netscape (agora em Sun Microsystems and Red Hat products)
Novell (atravs do eDirectory)
OctetString (atravs do VDE server)
Oracle (atravs do Oracle Internet Directory)
Radiant Logic (atravs do RadiantOne Virtual Directory Server)
Red Hat (atravs do Red Hat Directory Server)
Siemens AG (atravs do DirX server)
SGI and
Sun (atravs do iPlanet and Sun ONE directory servers)
Symlabs (atravs do Directory Extender)
Na figura 2.1, podemos ver alguns servios e aplicaes que o protocolo LDAP
fornece suporte, entre elas duas em que utilizamos em nossas aplicaes prticas, como a
sua utilizao nas redes Microsoft e Linux.
.
Figura 2-1 Alguns servios que o protocolo LDAP fornece suporte. (Fonte: www.ldap.org)
O LDAP usado atualmente pela maioria dos administradores de rede em

detrimento das Bases de Dados Tradicionais, porque alm das suas caractersticas j
referidas, cada vez mais existem aplicaes com suporte LDAP uma das tecnologias mais
difundidas e menos compreendidas da Internet o LDAP est em todo lugar, entretanto,
desconhecido da maioria dos profissionais.
Note que embora seja possvel ter acesso base de dados remotamente, o LDAP
no um protocolo freqentemente usado na Internet, apenas em Intranets, sobretudo de
grandes empresas, j que quanto maior o nmero de usurios e de documentos
disponveis, maior sua utilidade.
Neste captulo vimos teoria do protocolo LDAP, sua histria, caractersticas,

aplicaes e algumas empresas que utilizam o protocolo, como a Microsoft (AD) e Linux.
O AD umas das ferramentas que utiliza o protocolo LDAP para servios de

diretrios, mais caractersticas so apresentadas a seguir:
3 . ACTIVE DIRECTORY
Criado em 1996, o Active Directory foi implementado no Windows Server 2000. O
Active Directory foi, sem dvidas, a grande novidade do Windows Server 2000 em relao
ao Windows NT Server 4.0. Algumas revises para aumentar a funcionalidade e melhorar
a administrao foram necessrias para incorporar ao AD Windows Server 2003, sendo
hoje, a sua principal ferramenta. O Active Directory tambm o elemento central,
fundamental, sobre o qual planejada e implementada uma infra-estrutura de rede, sendo o
elemento principal da Microsoft no Windows Server.
O Active Directory o servio de diretrios para os sistemas operacionais Windows
Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition e Windows
Server 2003, Datacenter Edition. Ele armazena informaes sobre objetos na rede, fazendo
com que estas informaes sejam fceis de encontrar e utilizar por administradores e
usurios. Possui um arquivo de dados estruturado como a base de uma organizao lgica
e hierrquica de informaes de diretrio.
Conforme (Picoto, 1999), o AD permite que qualquer controlador de domnio seja o
nico ponto de administrao necessrio para recursos publicados, os quais podem incluir
perifricos, usurios, qualidade da ligao de rede para grupos de usurios e outros objetos.
Segundo (Anderson et al, 2001), o Active Directory uma execuo de servios de
diretrio do protocolo LDAP pela Microsoft, para o uso em ambientes Windows. O Active
Directory permite que os administradores atribuam polticas a grandes empresas,
instalaes de programas automaticamente, apliquem atualizaes crticas a uma
organizao inteira. As redes do Active Directory podem variar de uma instalao pequena
com alguns objetos, a uma instalao grande com milhes dos objetos.
Segundo (Param, 2001), o Active Directory um servio de diretrio do Windows
2000 que permite as organizaes mantenham as informaes centralizadas dos recursos e
usurios da rede. Uma caracterstica significativa do Active Directory a utilizao do
protocolo LDAP. Infelizmente, ainda muito difcil utilizar o Active Directory, sem usar
os servios (ADSI) Active Directory System Interface.
Conforme (Schley, 2004), o Active Directory um componente essencial da ltima

gerao da arquitetura de rede do Windows Server. Oferece um servio de diretrio que
permite que as organizaes controlem de maneira centralizada as informaes dos
recursos dos usurios da rede. Ele armazena tambm as informaes de segurana da rede
de Windows. O Windows faz com que o servidor de rede, utilize o Active Directory e um
controlador de domnio em uma rede. Todos os objetos armazenados no Active Directory
so acessveis atravs do protocolo LDAP. O Active Directory suporta as verses LDAPv2
e LDAPv3.
O Active Directory d suporte aos sistemas operacionais Microsoft Windows 2000

Professional, Windows XP Professional, Windows 98 e Linux. Porm, a atualizao do
Win98 foi descontinuada em julho de 2006, impedindo assim sua atualizao e no
permitindo a migrao de redes modelo Workgroups para modelos de domnio (ver seo
3.3).
O servio de diretrio do Active Directory pode ser instalado em servidores que

executem o Microsoft Windows Server 2003. Ele armazena informaes sobre objetos na
rede e facilita o acesso de administradores e usurios a essas informaes. Esse
armazenamento de dados, tambm conhecido como diretrio, contm informaes sobre os
objetos do Active Directory. Geralmente, os objetos incluem recursos compartilhados
como servidores, arquivos, impressoras, contas de usurio e de computador da rede.
A segurana integrada ao Active Directory atravs da autenticao de logon e

controle de acesso a objetos no diretrio. Com um nico logon na rede, os administradores
podem gerenciar a organizao e os dados de diretrio em suas redes e os usurios de rede
autorizados podem acessar recursos em qualquer lugar da rede. A administrao com base
em diretivas facilita o gerenciamento at mesmo das redes mais complexas.
Segundo (Oliver, 2003) o Active Directory, sem sombra de dvida, foi a principal
ferramenta dos Windows Serves, sendo agora, uma ferramenta padro em muitas empresas
de todo mundo. Sua entrada no mercado foi marcada radicalmente no corao da
plataforma dos usurios de Windows. Hoje, seria muito difcil administrar uma rede
11
Windows com a base de dados descentralizada, e com o Active Directory, a rede torna-se
mais segura e mais fcil de ser administrada.
O Active Directory e o DNS so ligados por completo, no podendo instalar o

Active Directory sem o DNS. De fato, o Active Direcory est construdo no DNS (Domain
Name System).
3.1 DNS
O sistema de nomes de domnios DNS (Domain Name System) oferece um servio
de nomes de computadores e redes organizado em uma hierarquia de domnios. Os nomes
DNS so usados em redes TCP/IP, como a Internet, para localizar computadores e servios
por meio de nomes amigveis para o usurio. Quando um usurio insere um nome DNS ou
uma URL (Universal Resource Locatorem) em um aplicativo, o servio DNS pode
resolver o nome para outra informao associada ao nome, como um endereo IP.
Por exemplo, a maioria dos usurios prefere um nome amigvel, como a URL
labinst.ufla.br, para localizar um computador como um servidor de correio ou da Web em
uma rede. Um nome amigvel pode ser mais fcil de aprender e lembrar do que um
nmero. No entanto, os computadores se comunicam em rede usando endereos
numricos. Para utilizar os recursos da rede de maneira mais fcil, os sistemas de nomes
como o DNS fornecem um modo de mapear o nome amigvel do usurio de um
computador ou servio para seu endereo numrico conforme figura 3.1.
12
Figura 3-1Exemplo do funcionamento do DNS. (Fonte: Autor)
O exemplo da figura 3.1, um cliente consulta um servidor DNS, solicitando o

endereo IP de um computador configurado para usar host-a labinst.ufla.br como nome de
domnio DNS. Como o servidor DNS capaz de responder consulta com base no banco
de dados local, ele envia com uma resposta que contm as informaes solicitadas: um
registro de recurso de host (A) que contm as informaes de endereo IP para host-a
labinst.ufla.br.
O sistema de nomes de domnios DNS foi projetado originalmente como um

protocolo aberto e, conseqentemente, vulnervel a invasores. O DNS do Windows
Server 2003 melhorou a capacidade de impedir um ataque na infra-estrutura do DNS com a
adio de recursos de segurana.
Em seguida mostraremos a camadas de estrutura lgica do AD, a maneira de como

o AD apresentado aos usurios e administradores deste domnio.
13
3.2 Camadas
de
estrutura
lgica
do
Active
Directory
Os elementos que compem a estrutura do AD, so apresentadas ao administrador e

aos usurios, quando estes utilizam as ferramentas de administrao e pesquisa do AD.
A estrutura fsica determina onde so armazenadas as informaes do Active

Directory, como as informaes so sincronizadas entre os diferentes DCs (controlador de
Domnio). Por outro lado, a estrutura fsica pode ser diferente, e normalmente , da
estrutura lgica que composta por: Domnios, rvore, Floresta, Relao de Confiana,
Objeto do AD, Unidades Organizacionais e Esquemas. Mostraremos agora cada uma delas
nos prximas sees.
3.2.1 Domnios
Os domnios so unidades de replicao. Um domnio a fronteira administrativa
para gerenciar objetos, como usurios, grupos e computadores. Alm disso, cada domnio
possui diretivas de segurana individuais e relaes de confiana com outros domnios.
Todos os controladores de domnio em determinado domnio podem receber alteraes e
replic-las em todos os outros controladores do domnio. Cada domnio do Active
Directory identificado por um sistema de nomes de domnios (DNS) e requer um ou mais
controladores. Se a rede precisar de mais de um domnio, o administrador poder criar
facilmente vrios domnios.
Para (Santos e Cmara, 2002) os domnios representam uma partio lgica do

Active Directory que serve tanto para a segurana quanto para replicao de diretrios. Os
administradores de domnio podem criar, excluir e gerenciar todos os objetos que residem
no domnio pelo qual so responsveis. Tambm podem atribuir e redefinir senhas, alm
de delegar uma autoridade administrativa para recursos de rede a outros usurios
confiveis.
14
O administrador no precisa criar domnios separados apenas para a organizao de

divises e departamentos da sua empresa. Em um domnio, possvel usar unidades
organizacionais para esse fim. A criao de um novo grupo facilita o gerenciamento das
contas e os recursos existentes no domnio. Em seguida, o administrador pode atribuir
configuraes de diretiva de grupo e incluir usurios, grupos e computadores. O uso de um
nico domnio simplifica bastante a sobrecarga administrativa. Com a facilidade de criar
diretiva por grupo (GPO) ele pode estabelecer a forma como os recursos de domnio so
acessados, configurados e usados. Essas diretivas so aplicadas somente no domnio e no
entre domnios.
Conforme (Shimonski, 2005), importante saber controlar os nveis funcionais do

usurio no Windows 2003 e podem ser de grande uso quando solicitado. Muitas vezes,
preciso adicionar a funcionalidade a seu domnio, e se estiver usando verses diferentes de
Windows Server 2000/2003, tm que considerar os nveis funcionais, ajustando o seu
domnio ou mesmo a floresta. Caso esteja utilizando outros servidores diferentes,
transforme o seu Server 2000 para nvel funcional do Server 2003, assim aumentar o nvel
funcional de seu domnio.
Figura 3-2 Exemplo de um domnio. (Fonte: Macromedia, Inc- Flash Player)
15
Pela figura 3.2, podemos ver claramente um domnio. Dentro de um domnio temos
os objetos que so os usurios, computadores, grupos, impressoras, aplicativos, entre
outros. Na prxima seo descrevemos os objetos do AD.
3.2.2 Objetos do Active Directory
Cada objeto representa uma nica entidade, que pode ser um usurio, um
computador, uma impressora, uma aplicao, ou dados compartilhados. Os objetos podem
tambm ser recipiente de outros objetos. Por exemplo, os atributos de um objeto Arquivo
incluem seu nome, localizao e tamanho, enquanto os atributos de um objeto Usurio do
Active Directory devem incluir o nome, sobrenome e endereo de email do usurio.
De acordo (Possey, 2006), quando criamos objetos no Active Directory, temos a
possibilidade de incorporar a informao relacionada aos atributos de um nmero de
objeto. Por exemplo, se estivermos criando um objeto do usurio devemos incorporar toda
a informao usual tal como o user_name e a senha, mas podemos tambm incorporar a
outra informao tal como o endereo do usurio e o nmero de telefone.
3.2.3 Unidades Organizacionais (UOs)
Algumas vezes um domnio uma rea grande demais para ter o acesso concedido.
Por exemplo, suponha que precisamos contratar algumas pessoas para trabalharem com
alguns servios do Active Directory sem que esta pessoa tenha acesso a todo o domnio.
Ento criamos um novo usurio com certos privilgios, que por exemplo, ficar
responsvel pela folha de pagamento do grupo contabilidade, conforme mostrado na figura
3.3. Dessa forma, o administrador do domnio dar certos privilgios a este usurio
administrador, podendo ter acesso total ou parcial da folha de pagamento. Pode criar um
novo administrador para um grupo, como por exemplo, o gerente do setor Jurdico ter
16
controle total sobre o grupo jurdico, conforme mostrado na figura 3.3. A idia subdividir
o domnio em unidades organizacionais ou UOs.
Figura 3-3Criao de unidades Organizacionais dentre de um Domnio. (Fonte: Macromedia, IncFlash Player)
Segundo (Anderson et al, 2001) o UO responsvel por dar o controle de um

conjunto de contas de usurios e/ou mquinas para um conjunto de usurios, permitindo,
por exemplo, definirmos um conjunto de pessoas que podero redefinir senhas em um
determinado departamento sem ter de torn-los administradores com mais poderes do que
o desejvel e, alm disso, podemos restringir o grupo de pessoas em que as senhas possam
ser alteradas.
Conforme (Shimonski, 2005), durante a instalao Active Directory em uma

organizao, sempre importante considerar o sistema desta organizao e verificar que
algumas configuraes importantes esto sendo utilizadas. Uma das mais importante o
planejamento do sistema local do usurio, criando diretivas para usurios, restringindo
assim seus acessos e permitindo alguns privilgios.
17
3.2.4 rvore
Se vrios domnios tiverem nomes de DNS contguos, essa estrutura ser chamada
de rvore de domnio. No DNS, a estrutura de rvore hierrquica invertida usada para
indexar nomes de domnio. As rvores de domnio so semelhantes, quanto ao propsito e
ao conceito, s rvores de diretrios usadas pelos sistemas de arquivamento do computador
para armazenamento em disco. Por exemplo, quando houver vrios arquivos armazenados
em disco, os diretrios podero ser usados para organiz-los em conjuntos lgicos. Quando
uma rvore de domnio tiver uma ou mais ramificaes, cada uma poder organizar nomes
de domnio usados no espao para nome nos conjuntos lgicos.
Conforme (Santos e Camara, 2002) uma rvore uma reunio hierrquica de

domnios organizados em um espao de nome contguo. Uma rvore tambm constitui em
um nico domnio do Windows 2000. Podemos criar um espao de nome contguo maior,
unindo diversos domnios em uma estrutura hierrquica. O primeiro domnio AD criado
chamado de raiz da rvore.
Neste trabalho, criamos um domnio chamado labinst.ufla.br e drca.ufla.br. Vale a

pena ressaltar, porm, no colocamos em prtica em nosso trabalho, o funcionamento dos
domnios de forma hierrquica. O Active Directory cria relacionamentos de confiana
automaticamente entre cada domnio e seus domnios filhos. Facilitando permisses aos
seus domnios filhos, como por exemplo, servio de impresso, entre outros.
Observe que exibida uma rvore com 3 diretrios, conforme mostrado na figura
3.4. O domnio inicial, tambm conhecido como domnio pai ou domnio raiz, ufla.br.
Os domnios filhos seguintes so: dcc.ufla.br e cin.ufla.br.
18
Figura 3-4 Exemplo de uma rvore de Domnio compartilhando o mesmo nome.(Fonte: Macromedia,
Inc- Flash Player)
Quando formada uma hierarquia de diretrios, h um compartilhamento de

nomes. Significa que os nomes dos objetos filho de segundo nvel, por exemplo,
dcc.ufla.br e cin.ufla.br, contm o nome do objeto pai (ufla.br). Por exemplo, dcc.ufla.br
contm ufla.br.
Com isso uma rvore de diretrios deste tipo forma um espao de nomes contnuo,
no qual o nome do objeto filho sempre contm o nome do objeto pai.
3.2.5 Floresta
Suponha, porm, que uma empresa esteja dividida em ufla.br e ufes.br, conforme
figura 3.5. Suponha, ainda, que esta empresa resolveu continuar com uma empresa de
domnios mltiplos e quer manter uma parte de sua firma como ufla.br e outra como
ufes.com. Entretanto, bastante provvel que tenhamos dois domnios e esses dois
domnios no cabero na mesma rvore.
Podemos optar por construir esses dois domnios do AD em uma mesma estrutura
unificada, mas ela no poder ser uma rvore devido aos nomes desiguais. Em vez disso,
19
optaremos pela criao de uma floresta. Uma floresta nada mais do que um grupo de
rvores, como podemos observar na figura 3.5.
Figura 3-5 Exemplo de uma Floresta. (Fonte: Macromedia, Inc- Flash Player)
O primeiro domnio em uma floresta chamado de domnio raiz da floresta. Para o

DNS e o Active Directory, so nomes diretamente acima de outros nomes de domnio
derivativos (domnios filho). Por exemplo, ufla.br poderia ser o domnio pai para
dcc.ufla.br (um domnio filho).
3.2.6 Relao de confiana
Quando uma nova rvore de domnio criada em uma floresta existente, ou mesmo
um n filho de mesma extenso, uma relao de confiana da raiz de rvore estabelecida
por padro. No Active Directory, h uma estrutura hierrquica de um ou mais domnios.
Vrias rvores de domnio podem pertencer mesma floresta. Em uma floresta, uma
relao de confiana criada automaticamente entre o domnio raiz de floresta e os
domnios raiz de cada rvore.
Conforme (Santana, 2000), com a utilizao de domnios, podemos fazer com que
nossa rede reflita a estrutura de uma empresa. Quando utilizamos vrios domnios temos o
20
conceito de relao de confiana. A relao de confiana permite que os usurios de ambos

os domnios acessem os recursos localizados nesses domnios. No Windows 2000, as
relaes de confianas so bidirecionais e transitivas, ou seja, se o servidor X confia no
servidor Y, e Y confia no servidor W, o servidor X tambm confia no servidor W, o
servidor Y confia no servidor P, o servidor P confia no servidor M que este confia no
servidor W, o servidor H confia no servidor P e T, e assim por diante, como mostra a
figura 3.6.
Figura 3-6Exemplo de uma relao de confiana. (Fonte Windows Server 2003 A Bblia)
3.2.7 Esquema do AD
O Esquema do Active Directory o conjunto de definies que estabelecem os tipos
de objetos e os tipos de informaes sobre estes objetos, que podem ser armazenados no
Active Directory. As definies em si so armazenadas como objetos para que o Active
Directory possa gerenciar os objetos do esquema com as mesmas operaes de
gerenciamento usadas para os demais objetos no diretrio. Existem dois tipos de definies
no esquema: atributos e classes, que tambm so chamados de objetos.
21
3.2.8 Integrao do DNS ao Active Directory

Para (Posey, 2005), o Active Directory e o DNS possuem a mesma estrutura
hierrquica, embora separados e implementados de diferentes formas para diversas
finalidades. O nome do DNS o mesmo usado para o Active Directory e possuem estrutura
idntica para mesma organizao. Por exemplo, microsoft.com um domnio DNS e um
domnio Active Directory.
As zonas de DNS podem ser armazenadas no Active Directory. Se estivermos

usando o servio DNS do Windows Server 2003, os arquivos da zona primria podero ser
armazenados no Active Directory para replicao em outros controladores de domnio. O
Active Directory usa o DNS como um servio localizador, resolvendo o domnio, o site e
os nomes de servio do AD para um endereo IP.
O acesso do usurio ao domnio do AD, permite que o cliente do AD consulte seu

servidor DNS configurado em busca do endereo IP do servio LDAP que est sendo
executado em um controlador de um domnio especfico.
Conforme ( Droubi, et al, 2003) quando a Microsoft comeou o desenvolvimento do
AD, criar uma compatibilidade com o DNS era a grande prioridade. O AD foi construdo
no apenas para ser inteiramente compatvel com DNS, mas tambm para fazer com que os
dois no possam ficar separados. Caso o DNS no estiver funcionando, o AD tambm no
funcionar.
Alm da necessidade da interao com servidor DNS, se fez uma configurao
automtica do endereo IP, para facilitar e evitar problemas de conflito de IP. Numa rede
de Arquitetura TCP/IP, todo computador deve possuir um endereo IP distinto. O DHCP
(Dynamic Host Configuration Protocol) o protocolo que prov um meio para alocar estes
endereos dinamicamente.
Conforme (Arajo, 1997), para o perfeito funcionamento de um computador ligado
a uma rede Internet, no apenas precisa-se configurar o seu endereo IP, mas tambm uma
22
srie de outros parmetros de rede. Um cliente DHCP busca encontrar um ou mais

servidores DHCP que possam fornecer os parmetros desejados, para que sua mquina
possa ser configurada automaticamente.
Na prxima seo, mostramos a transformao de uma rede modelo Workgroups
para uma rede modelo domnio a qual, ter uma base de dados centralizada.
3.3 Transformando
uma
Rede
de
Modelo
Workgroups para Modelo Domnio
Nas redes Windows no existe domnio sem o Active Directory. Um domnio

criado quando o Active Directory instalado no primeiro servidor. Ao instalar o Active
Directory, o servidor torna-se um DC (Domain Controler). O DC contm uma cpia da
base de dados do Active Directory. Na base de dados do Active Directory ficam, dentre
outras, informaes tais como: contas e senhas de todos os usurios, grupos de usurios e
membros de cada grupos, contas de computador e assim por diante. Um domnio pode ter
vrios DCs. Qualquer alterao feita nas informaes do Active Directory, em qualquer um
dos DCs ser replicada, automaticamente, para todos os demais DCs do domnio. O
resultado prtico que todos os DCs possuem uma cpia idntica do AD. Em um domnio
baseado no Active Directory e no Windows Server 2003 possvel ter dois tipos de
servidores Windows Server 2003.
Quando os servidores Windows Server 2003 so configurados para trabalhar com

Workgroups, no existe o conceito de domnio e nem de Controlador de Domnio. Cada
servidor mantm uma lista separada para contas de usurios, grupos e polticas de
segurana, conforme descrito anteriormente. Com isso se um usurio precisa acessar
recursos em trs servidores, por exemplo, ser necessrio criar uma conta para esse usurio
nos trs servidores diferentes. Uma rede Workgroups somente recomendada para redes
extremamente pequenas, no mais do que 10 estaes clientes.
23
Em uma rede baseada no modelo de Workgroups cada servidor independente do

outro. Em outras palavras, os servidores do Workgroups no compartilham uma lista de
usurios, grupos e outras informaes. Cada servidor tem a sua prpria lista de usurios e
grupos, conforme mostrado na Figura 3.7.
Figura 3-7Exemplo de uma rede baseada no modelo Workgroups. (Fonte : Julio Battisti, 2002).
Nesta rede temos trs servidores (ver figura 3.7), onde cada servidor tem a sua
prpria base de usurios, senhas e grupos. Conforme pode ser visto na figura 3.7, as bases
no esto sincronizadas, existem contas de usurios que foram criadas em um servidor,
mas no foram criadas nos demais. Por exemplo, a conta Paulo somente existe no Servidor
01, a conta Mauro s existe no Servidor 02 e a conta Cassia s existe no servidor 03.
Logo, se os trs funcionrios precisassem utilizar os trs servidores, teriam que ter uma
senha para cada servidor. Agora imagine o problema em uma rede de grandes propores,
com dezenas de servidores e milhares de funcionrios. Fica fcil concluir que o modelo de
Workgroups ficaria insustentvel, impossvel de ser implementado na prtica, para redes de
mdia a grande porte.
Agora mostraremos uma rede de modelo Domnio. Vamos iniciar considerando a

figura 3.8 a seguir:
24
Figura 3-8Uma rede baseada no conceito de Diretrio - Domnio. (Fonte: Julio Battisti, 2002)
No modelo baseado em diretrio, temos uma base de usurios nica, ou seja, todos
os servidores da rede compartilham a mesma base de usurios. O que ocorre na prtica,
que todos os servidores contm uma cpia da base de informaes do diretrio. Alteraes
efetuadas em um dos servidores so repassadas para os demais servidores da rede, para que
todos fiquem com uma cpia idntica da base de dados do diretrio. Esta sincronizao
entre os servidores do domnio conhecida como Replicao do Active Directory.
3.4 Autenticao no AD
A autenticao crucial para a comunicao segura. Os usurios devem comprovar
suas identidades para as pessoas com quem se comunicam e verificar a identidade de
outras pessoas. difcil a comprovao de identidade em uma rede, pois as pessoas no se
encontram fisicamente durante a comunicao, permitindo que um usurio malintencionado intercepte mensagens ou se faa passar por outra pessoa fsica ou jurdica.
25
O certificado digital uma credencial comum que permite a verificao da

identidade. Os certificados usam tcnicas de criptografia para solucionar a falta de contato
fsico entre as partes em comunicao. O uso dessas tcnicas diminui a possibilidade de
uma pessoa mal-intencionada interceptar, alterar ou falsificar mensagens. Essas tcnicas de
criptografia dificultam a adulterao de certificados. Isso impede que uma entidade
obtenha a identidade de outra pessoa.
Segundo (Melber, 2005), para uma boa administrao de uma rede, a maioria dos
administradores querem saber quem est utilizando o sistema, a que computador, quais
recursos os usurios tem acesso, entre vrios outros recursos da rede. Porm, no
necessariamente qualquer usurio pode utilizar o sistema desta rede, apenas usurios
autenticados no domnio tero o privilegio de logar no domnio desejado. Quando o
usurio coloca seu login e sua senha, o Active Directory (controlador de domnio) verifica
se o usurio tem permisses de acesso ao domnio pretendido. Com a autenticao de
usurios, o AD torna essa rede mais segura e limitada entrada de usurios no
autenticados.
A seguir sero mostrados os benefcios de se trabalhar com usurios cadastrados em

grupo, criando polticas por grupo e no para usurios individuais, assim, facilitando a
administrao da rede para o administrador.
3.5 Criando Grupos de Usurios e definindo

diretivas por grupos.
Um grupo um conjunto de contas de usurios e computadores, contatos e outros
grupos que podem ser gerenciados como uma unidade. Os usurios e os computadores que
pertencem a um grupo especfico so chamados de membros do grupo. Os grupos so
caracterizados pelo escopo e pelo tipo. O escopo de um grupo determina a extenso qual
o grupo aplicado no domnio ou na floresta.
26
As configuraes de Diretivas de Grupo definem os vrios componentes do

ambiente da rea de trabalho do usurio que o administrador do sistema precisa gerenciar.
Por exemplo, os programas que esto disponveis para usurios, os programas que
aparecem na rea de trabalho do usurio e as opes do menu Iniciar. As configuraes de
Diretiva de Grupo especificadas esto contidas em um objeto de Diretiva de Grupo que,
por sua vez, est associado aos objetos selecionados do Active Directory, como sites,
domnios ou unidades organizacionais.
Usar grupos pode simplificar a administrao ao atribuir um conjunto comum de

permisses e direitos a vrias contas simultaneamente, em vez de atribuir as permisses e
os direitos a cada conta individualmente. Dessa forma pode simplificar a administrao,
atribuindo permisses sobre um recurso compartilhado a um grupo e no a usurios
individuais. Isso atribui o mesmo acesso ao recurso compartilhado a todos os membros do
grupo.
Segundo (Tulloch, 2005), o usurio cadastrado em grupo ou grupos pelo

administrador do domnio conforme necessidade de seu perfil, porm, este usurio pode a
vir necessitar de algumas permisses especiais alm das fornecidas pelo administrador. Por
exemplo, conforme mostra figura 3.9 somente os usurios Bob Smith, Mary Jones, e Tom
Lee receberem a poltica em execuo, primeiramente so usados usurios e computadores
do Active Directory para criar um grupo global chamado Snior Venda e usurios
introduzindo no mercado que tem somente estes trs usurios como membros. Esses
usurios tero algumas permisses especiais, alm das que possuam at mesmo um
controle total do grupo.
27
Figura 3-9Criando permisses especiais a usurio. (Fonte: Tulloch, 2005)
Conforme (Tulloch, 2005) um usurio pode ter permisses de grupo a ele concedido
pelo administrador e alm dessas permisses, o administrador pode dar a este usurio
permisses especiais diretamente a sua conta, podendo tambm cadastrar em vrios outros
grupos.
Na figura 3.10, apresentada uma ilustrao do conceito de grupo de usurios. O
grupo Contabilidade possui direito para um recurso compartilhado, o qual pode ser
acessado atravs da rede. Todos os usurios que pertencem ao grupo Contabilidade,
tambm possuem permisso para acessar o recurso compartilhado, com os mesmos nveis
de acesso do grupo Contabilidade, uma vez que os usurios de um grupo, herdam as
permisses do grupo.
28
Figura 3-10 O usurio herda as permisses do grupo. (Fonte: Julio Battisti)
Para os grupos de usurios, podemos considerar alguns fatos a seguir:
Grupos so colees de contas de usurios.
Os membros de um grupo herdam as permisses atribudas ao grupo.
Os usurios podem ser membros de vrios grupos.
Grupos podem ser membros de outros grupos.
Contas de computadores podem se membros de um grupo.
A Diretiva de Grupo se aplica no apenas a usurios e computadores clientes, mas

tambm a servidores membros, a controladores de domnio e a qualquer computador com o
que esteja contido no domnio, dentro do escopo de gerenciamento.
Por padro, a Diretiva de Grupo aplicada a um domnio, ou seja, aplicada no

nvel do domnio logo acima da raiz de Usurios e Computadores do Active Directory, o
que afeta todos os computadores e usurios no domnio.
A Diretiva de Grupo inclui as configuraes de diretiva para Configurao do

usurio X, as quais afetam os usurios, e a configurao do computador X. Dessa forma,
podemos colocar a diretiva por computador ou por usurio, isso depender tambm da
29
hierarquia de prioridade, conforme a poltica que adotaremos segundo cada departamento

ou organizao da empresa. Se colocarmos uma diretiva por computador e esta estiver em
primeiro plano, no topo da diretiva adotada para aquele domnio, ento todos os usurios
seguiro a poltica adotada para este computador, seguindo assim as normas imposta pelo
administrador deste domnio.
As diretivas por grupos facilitam o gerenciamento do administrador da rede. Um

exemplo poderia ser a chegada de um novo funcionrio, ao invs de colocar polticas para
este usurio, basta analisar o que ele precisa ter acesso e coloc-lo em um determinado
grupo ou grupos. Assim, conforme a necessidade deste usurio, ou mesmo uma promoo
de um funcionrio, podendo colocar e tirar acessos apenas sendo cadastrado nos grupos de
diretivas.
Conforme (Tulloch, 2005), a poltica de grupo muito importante e seria

indispensvel criao de um projeto no Active Directory com um planejamento de
diretiva de grupos. Caso os locais, domnios e OUs sejam criados de maneira errada, a
poltica OU do grupo ser difcil de se usar e de localizar problemas. Assim, a primeira
etapa durante o planejamento, criar regras para a poltica do grupo na rede, planejando
como executar o prprio Active Directory. Tal planejamento inclui decises como: Quantas
florestas sero abertas (uma ou diversas)? Quantas rvores do domnio? Haver quantos
domnios filho? Que tipo de estrutura de cada domnio tem? E assim por diante. Cada uma
destas OU de decises deve sempre ser feita fazendo a pergunta: Que impacto sofrer
minhas decises? Como a poltica do grupo ser executada em minha empresa? Fazendo
sempre essas perguntas, podendo assim gerenciar melhor as diretivas e grupos, evitando
erros futuros e facilitando o gerenciamento do administrador da rede.
Computadores e Usurios so os nicos tipos de objetos do Active Directory que

recebem a diretiva. Especificamente, a diretiva no se aplica a grupos de segurana. Em
vez disso, por motivos de desempenho, os grupos de segurana so usados para filtrar a
diretiva atravs de uma entrada de controle de acesso ACE (Access Control Entries) Aplicar
Diretiva de Grupo, que pode ser definida como Permitir ou Negar, ou no ser configurada.
30
Em se tratando de diretivas, necessrio saber se um usurio pode ter acesso a

qualquer computador deste domnio. Um usurio pode logar em qualquer computador
dentro de um domnio, porm, se este computador estiver utilizando uma diretiva de
computador para autenticao, apenas usurios locais tm acesso a estes computadores.
Contudo, a diretiva de computador sobrepe a diretiva de usurio.
Na prxima seo, ser mostrado o compartilhamento de pastas por grupos, apenas
usurios cadastrados no grupo, tero permisses de acesso s pastas compartilhadas pelo
grupo.
3.6 Pastas Compartilhadas

As pastas compartilhadas so usadas para listar os recursos compartilhados
disponveis no computador. Em alguns casos, uma conexo uma impressora monitorada
como uma conexo. Os recursos compartilhados podem ser uma pasta compartilhada, uma
impressora compartilhada ou um recurso de tipo no reconhecido.
Um recurso compartilhado fornece acesso para aplicativos, informaes ou dados

pessoais de um usurio. O administrador pode conceder ou negar permisses para cada
recurso compartilhado. Atravs de diversos mtodos a atribuio de permisses a grupos
simplifica o gerenciamento dos recursos compartilhados, com isso o administrador pode
adicionar ou remover usurios nos grupos sem precisar retribuir as permisses.
Cada usurio poder ter uma pasta para armazenar seus arquivos, sendo essa pasta
uma pasta privada, e dependendo, esta mesma ter uma cota. Pode ser criada uma ou vrias
pastas compartilhadas, onde todos usurios deste domnio podero ter acesso de leitura,
controle total ou alterao, conforme poltica adotada pelo administrador da rede, ou
apenas usurios de determinado grupo podero ter acesso determinada pasta.
Apresentamos nesse captulo a principal ferramenta do Windows Server 2003. A

ligao do DNS ao domnio do AD, onde o DNS tem o mesmo nome do Domnio. As
31
camadas de estrutura lgicas, que maneira de como o AD apresentado aos usurios e

administradores. A transformao de uma rede Workgroups para uma rede Domnio, na
qual o AD s reconhece uma rede domnio. A importncia da autenticao de usurios no
domnio que, aumenta a segurana da rede.
Na prxima seo ser mostrada a utilizao do protocolo LDAP no AD, os

servios que o protocolo LDAP fornece ao AD, a interao entre o sistema operacional
Windows Server 2003 e Linux, tendo assim um maior nmero de usurios e uma maior
utilizao de softwares livres.
32
4 . UTILIZAO DO PROTOCOLO LDAP NO

ACTIVE DIRECTORY
Como est implcito em seu nome, o LDAP foi desenvolvido como um mtodo
eficaz para o acesso a servios de diretrio sem a complexidade de outros protocolos de
servios de diretrio. O LDAP define as operaes que podem ser executadas para
consultar e modificar informaes em um diretrio e a forma como as informaes em um
diretrio podem ser acessadas com segurana. Ele pode ser usado para localizar ou
enumerar objetos de diretrio e para consultar ou administrar o Active Directory.
Os clientes do Active Directory tm que se comunicar com computadores de
domnio ao se conectarem rede e ao procurarem recursos compartilhados. O acesso a
controladores de domnio e catlogos globais realizado com o protocolo de acesso a
pastas (LDAP).
O protocolo LDAP define a forma como um cliente de diretrio pode acessar um
servidor de diretrio e a forma como o cliente pode executar as operaes de diretrio e
compartilhar dados de diretrio.
4.1 Suporte do LDAP ao AD

O LDAP um padro aberto da Internet, ao utiliz-lo, o Active Directory permite a
interoperabilidade com servios de diretrio de outros fornecedores. O suporte do Active
Directory ao LDAP inclui um objeto de provedor LDAP como parte do recurso ADSI
(Active Directory Service Interfaces). O ADSI oferece suporte a interfaces de programao
de aplicativos vinculadas linguagem C para LDAP. Outros aplicativos de servios de
diretrio podem ser facilmente modificados para acessarem informaes no Active
Directory usando ADSI e LDAP.
4.2 Autenticando um usurio Linux no Windows

Server 2003
Segundo (Del, 2002) A autenticao LDAP baseada em suportar os sistemas
operacionais mais recentes da Microsoft, incluindo o Windows Professional 2000 e o
Windows XP, e suporta tambm o sistema operacional Linux e outros sistemas Unix. Em
qualquer um dos sistemas operacionais citados, faz-se um logon utilizando o Active
Directory, porm, pode haver algumas limitaes. Primeiramente, os clientes Microsoft
nos Windows Professional 2000 e XP so especficos autenticao, tendo um acesso a
todos recursos a ele permitido fornecido pelo administrador do Active Directory.
O sistema operacional Linux implanta o servio de diretrio usando o LDAP, sendo
conhecido como o OpenLDAP. Embora o OpenLDAP use o mesmo protocolo de LDAP,
h outras caractersticas do Active Directory que o OpenLDAP no possui. Em geral, os
clientes do Active Directory no necessariamente autenticam em uma mquina servidora
utilizando o OpenLDAP. Mas, um cliente utilizando um sistema operacional Linux pode
autenticar, configurar um domnio para que faa parte do grupo.
Para (Henderson, 2004), o planejamento de integrar uma estao de trabalho Linux
(usurio) a uma rede de Windows (servidor), um dos fatores que deveramos nos preocupar
a autenticao e o encontro ao DNS (domain name server) do Windows. Isto , fazer com
que uma mquina Linux (usurio), possa ser configurada no domnio do Active Directory
(Windows Server).
Qualquer Programa ou Sistema habilitado ao padro LDAP, ser capaz de acessar

as informaes do AD, ou seja, com o uso deste padro possvel desenvolver sistemas
integrado ao AD. Contudo, podemos concluir que, a utilizao do SO Linux (cliente) em
um servidor Windows s se concretiza mediante os dois SOs trabalharem com o mesmo
protocolo, o protocolo LDAP por padro.
34
Neste captulo observamos o que o protocolo LDAP o principal protocolo para o

AD e seus servios para o AD. A interao dos dois sistemas operacionais, mediante os
dois SO trabalharem com o mesmo padro que o protocolo LDAP.
No prximo captulo apresentamos como o AD possibilita implantar alguns servios

atravs das operaes prticas na UFLA, como o labinst.ufla.br e o drca.ufla.br.
35
5 APLICAES PRTICAS
5.1 Objetivo
Neste trabalho, centralizaremos a administrao da rede utilizando a principal
ferramenta do Windows Server 2003, o Active Directory, para gerenciar todo os
computadores deste domnio. Faremos uma comunicao entre diferentes sistemas
operacionais utilizando Active Directory, em um servidor (Windows Server 2003) para
usurios Linux.
5.2 Descrio do problema

Devido a grande dificuldade que se tem de trabalhar com a base de dados de
usurios descentralizada e por reconhecer que indispensvel um melhor gerenciamento
dos recursos da rede para os usurios, vislumbramos a soluo de administrar a rede por
meio do AD. Ser feita uma instalao do SO Windows Server 2003 em um computador,
sendo este computador um controlador de domnio (Active Directory), transformando
assim uma rede de modelo Workgroups para uma rede de modelo domnio.
A implantao do AD ir permitir a interao entre os sistemas operacionais Linux

e Windows, permitindo um nmero maior de usurios trabalharem no mesmo domnio,
alm da maior disseminao de softwares livres.
5.3 Instalao do AD
Em um servidor, foi instalado o Sistema Operacional Windows Server 2003. Antes
de colocar o servidor em rede, foi instalado o antivrus Norton Corporate (Symantec),
como servidor para dar suporte a todas as mquinas ligadas a seu domnio.
36
Foram feitas todas as atualizaes do sistema operacional pelo Windows update.

Com o trmino das atualizaes, comeou-se a utilizar a gerenciamento de servio do
Server 2003, onde se encontram vrias ferramentas de servidor do SO. Iniciou-se pelo
DHCP, e para que o servidor tambm funcionasse como servidor de DHCP, foi feita a
instalao de duas placas de rede, uma para WAN e outra como LAN, funcionando como
roteador.
Aps a configurao dos computadores do laboratrio para utilizao de IP

automtico, empregando o mesmo servidor, foi feito um acesso remoto a um outro servidor
do Campus da UFLA, um servidor de DNS, criando assim, um novo DNS, que por sua vez
esse DNS ser o domnio, n raiz de uma nova rvore, indispensvel criao de DNS no
servidor. Sem a instalao do DNS seria impossvel utilizar os servios do Active
Directory. Na verdade o Active Directory nada mais que um controlador de domnio.
Em seguida configuramos a principal ferramenta dos servidores, o Active Directory.

Ao criarmos um domnio no AD, uma substituio ao Windows Workgroups, os
computadores com os sistemas operacionais Windows 95, Windows 98 e Windows NT
no podero mais se conectar ao AD do Windows Server 2003. Esses sistemas
operacionais que reconhecem apenas rede s de modelo Workgroups, logo, para utilizar
uma rede de modelo domnio, precisam aderir normas para acesso ao domnio.
Esses sistemas operacionais mais antigos no do suporte a instalao de um

domnio, como podemos ver na figura 5.1. A Microsoft no oferece nenhum software que
o faa suport-lo; assim, simplesmente esses clientes no tero mais acesso. O Windows
98 pode acrescentar essa funcionalidade por meio de pequeno software cliente (Active
Directory Client for Windows 98), portanto precisamos acrescent-lo antes que qualquer
sistema Windows 98 comunique-se com um domnio AD baseado no Server 2003.
37
Figura 5-1 Compatibilidade de sistema operacional. (Fonte: instalao do AD no servidor)
Conforme (Anderson et al, 2002) recomendvel minimizar o nmero de domnio

ao mximo, se possvel apenas para um s domnio. Os domnios do Active Directory
podem ser enormes, capazes de conter milhes de objetos, grandes o suficiente para a
maior parte das empresas. A utilizao de mais de um domnio por servidor, sobrecarrega a
memria e a CPU. Alm disso, ter muitos domnios por servidor significa ter muito trfego
na LAN, j que eles se mantm atualizados quanto s alteraes no AD.
38
Figura 5-2 Controlador de domnio. (Fonte : instalao do AD no servidor)
No Laboratrio Institucional e no departamento DRCA foi criado somente um

domnio por servidor, o n raiz, onde somente ele a raiz, conforme mostrado na figura
5.2. Com apenas um domnio, ele chamado de rvore. A segunda opo desta figura 5.2,
domnio filho de uma rvore existente, precisa de um domnio raiz existente, um DNS
controlador de domnio, criando-se, assim, um filho para este domnio. A partir do
momento que criado uma nova rvore e j existe um n raiz chamado ufla.br, cria-se um
outro n chamado dcc.ufla.br. Esta rvore passa a ter uma relao de confiana, funciona
como uma hierarquia, uma relao de pai para filho. Em nosso trabalho, foi criado apenas
um domnio, conforme polticas adotadas pelo administrador da rede, mais vale lembrar
que, podemos criar novos domnios, ou at mesmo uma floresta.
Aps o trmino da instalao do Active Directory, utilizamos uma interface do AD

para toda a administrao dos usurios e computadores.
39
Ao cadastrar o usurio no Active Directory, a configurao da mquina cliente deve

ser alterada do modelo Workgroups para o modelo de rede domnio. No entanto, algumas
empresas utilizam um SO modificado para automatizar a converso de Workgroups para
domnio.
Aps a troca de Workgroups para domnio, faz-se um logoff e ao fazer novamente

um login, ter uma opo de domnio: mquina local ou domnio desejado, caso o
administrador no tenha tirado a opo mquina local. Assim, o usurio entrar com sua
senha e seu login, sendo que este usurio autenticado no domnio.
Muitas empresas, que utilizam o AD, adotam polticas onde apenas administradores
podem instalar programas. Entretanto, usurios podem instalar programas apenas os que
esto em sua rea de trabalho, eles ficam em modo de espera, conforme necessidade do
usurio instala ou no o programa.
O AD reconhece apenas programas do tipo MSI (Microsft Sistem Installer), que

uma extenso da Microsoft para instalaes de programas para usurios do domnio, onde
muitos programas fornecem uma instalao desses pacotes MSI. Porm, nem todos so
fornecidos neste formato e devemos utilizar um software chamado Veritas que faz essa
converso. Por exemplo, um programa lanking.exe, convertido para lanking.msi, sendo
este programa lanking.msi reconhecido pelo AD. Neste programa cria-se um pacote de
instalao que instala todos os programas solicitados pelo administrador do domnio.
5.3.1Exemplos de aplicao 1: DRCA

A primeira aplicao prtica realizada foi no departamento do DRCA. Conforme a
necessidade de compartilhamento e segurana no departamento DRCA, foi instalado o AD.
Aps a instalao do AD foi feito a troca dos computadores (cliente) de modelo
Workgroups para um modelo de domnio. Entretanto, foi visto que, nem todos Sistemas
Operacionais existentes no departamento no eram passveis de realizar a troca de
40
Workgroups para domnio. Havia computadores utilizando o Sistema Operacional Win98 e

outros utilizando WinXP. Segundo tcnicos da Microsoft, pode-se baixar no site
www.microsoft.com, um programa para transformar uma rede Workgroups para domnio,
porm, a Microsoft forneceu esse servio at o dia 11/07/2006 sendo descontnuo aps esta
data. Conforme poltica adotada pelos administradores do DRCA, s sero utilizado
sistemas operacionais WinXP, no departamento DRCA.
Aps todos os computadores (clientes) estarem configurado no domnio

drca.ufla.br, foram criados novos usurios, como por exemplo, funcionrios do
departamento DRCA, caracterizados por um login, como sobrenome e uma senha
qualquer. Adota-se uma poltica, em que o usurio, ao logar pela primeira vez no domnio
DRCA, deve criar uma nova senha com 8 dgitos e alfanumrica, com letras maisculas e
minsculas, aumentando o nvel de segurana.
No DRCA, foi criada uma pasta particular onde este usurio (cliente) ter uma
quota para que possa armazenar dados, arquivos pessoais, mas somente ele ter acesso a
esta pasta. J com a criao de uma outra pasta pblica, todos os usurios deste domnio,
drca.ufla.br, podero armazenar dados e informaes que sejam teis a todos os usurios
do grupo drca.ufla.br, facilitando a troca de informaes. Um backup desta pasta pblica
realizado diariamente, segundo poltica adotada pelo DRCA.
Notamos com a utilizao do AD no DRCA, aumentamos a segurana do

departamento, onde para utilizar o sistema tem que ser cadastrado no domnio, alm da
facilidade de compartilhamento entre os usurios do drca.ufla.br.
Mostraremos agora uma outra implantao em que o AD possibilitou na instituio

UFLA, que o Laboratrio Institucional.
41
5.3.2Exemplo de aplicao 2: Laboratrio Institucional

A segunda aplicao foi no Laboratrio Institucional (labinst.ufla.br). Foi feita a
instalao do AD no Pavilho II, com cerca de 110 computadores e todos ligado no
domnio labinst.ufla.br. Com a instalao do AD no labinst.ufla.br, adotamos polticas
neste domnio para o uso dos alunos, onde cada aluno ter o seu login e sua senha para
autenticao nos computadores. A instalao dos programas foi realizada usando-se
pacotes MSI (Microsft Sistem Installer). A instalao desses pacotes MSI pode ser
realizada apenas no logon do usurio na mquina, ou mesmo, ficar na rea de trabalho para
o usurio, caso este usurio venha a precisar.
Aps instalarmos o AD (Labinst.ufla.br), foi criado usurios, porm, no colocamos

em prtica o cadastro de todos os alunos, colocamos uma senha e um login para cada
computador, que ficam armazenadas no prprio computador. Entretanto, para o uso deste
laboratrio necessrio apresentao de identificao para um funcionrio da UFLA no
Laboratrio Institucional, no a melhor maneira, mas foi a poltica adotada. Para isso
seria preciso cadastrar todos os alunos, um processo mais lento, porm, mais eficiente.
Aps uma soluo temporria para a autenticao de alunos, ser a preparao de

diretivas de grupo por computadores ou usurios, como as instalaes de programas para
usurios do domnio labinst.ufla.br. Foram instalados programas que tinham pacotes
prontos MSI e outros foram produzidos com o programa Veritas, transformando os
softwares a serem instalados em MSI. Este pacote foi criado conforme necessidade do
departamento e conforme a necessidade dos usurios deste domnio.
Foram instalados softwares utilizando poltica de grupo, aps o usurio logar neste
computador, aparecer o cone de instalao na barra de ferramentas, como se ficasse em
espera, por exemplo, Word, Excel, Power Point e caso o usurio necessite utiliz-lo, clica a
primeira vez no programa, que ser instalado. Foi tambm instalado programas por diretiva
de computador, sendo este computador desligado e ligado pela primeira vez aps a
ativao no AD de instalao, este programa ser instalado automaticamente antes que o
usurio venha a fazer logon neste computador.
42
Aps a instalao de programas para os usurios, o sistema est pronto para ser
administrado, permitindo acesso ou negando acesso ao usurio de seu computador ligado
ao domnio. A poltica adotada pelo administrador em relao diretiva do grupo do
labinst.ufla.br.
Foram impressas todas as partes de diretivas de computador e de diretiva de

usurio, totalizando mais de 100 pginas de diretivas. Podero ser adotadas polticas de
usurio ou mesmo de computador. Se colocarmos uma poltica de computador, apenas
usurios deste domnio podero logar, Por outro lado, se criarmos uma hierarquia de
primeira ordem para computador, somente usurio o local ter acesso, um usurio global
no ter como logar neste computador. Todas as diretivas so analisadas para uma melhor
administrao da rede, conforme necessidade do grupo de usurios.
Ao utilizarmos o AD no Laboratrio Institucional, notamos um melhor

gerenciamento dos usurios ao trabalhar com uma base de dados centralizada, maior
facilidade na instalao de programas e um melhor gerenciamento dos recursos dos
usurios, restringindo as permisses do usurio e permitindo apenas o essencial para uma
utilizao do sistema, conforme o perfil do usurio.
43
6 . CONCLUSO
Cada dia que passa aumenta a necessidade de uma rede mais segura e um melhor
gerenciamento para os usurios de uma rede. Entretanto, com o aumento no tamanho das
redes e as constantes mudanas pelas quais as redes passam, os usurios passaram a
necessitar de um servio que permitisse um acesso transparente aos recursos da rede. Com
isso surge a necessidade de se trabalhar com uma base de dados centralizados, para um
melhor gerenciamento de computadores e usurios.
Neste trabalho, mostramos os principais benefcios do servio de modelo de rede

domnio (Active Directory), permitindo um gerenciamento mais transparente das relaes
entre os recursos de rede distribudos. Este um fator de grande importncia para as
organizaes, proporcionando maior segurana, reduo de custos e melhorando a
funcionalidade desejada. Dessa forma, o AD gera um nico espao para o gerenciamento
dos usurios de gerenciamento, grupos e recursos de rede, bem como distribuir software e
administrar configuraes da rea de trabalho.
Ao utilizarmos o AD, passou a ser obrigatrio um login e uma senha para cada
usurio. O AD forneceu servios de segurana forte e consistente que so essenciais s
redes incorporadas. Como o gerenciamento de autenticao de usurio e controle de acesso
, geralmente, propensa a erro, o Active Directory centralizou a administrao e exigiu uma
segurana baseada em regras consistentes com os processos empresariais da organizao.
Em se tratando de ganho de tempo e maior segurana, a facilidade de cadastramento

de usurios por grupo, adotou as permisses deste grupo. O administrador atribui as
permisses ao grupo e no a usurio, como por exemplo, se tivesse uma rede de mais de
1000 usurios e colocar permisso a cada usurio, levaria muito tempo para uma rede de
grande porte. Foram definidas polticas para o grupo de usurios, de acordo com o seu
perfil. Essas polticas podem ser aplicadas ou removidas para cada grupo de usurios. Na
instalao dos programas, onde existe um fcil acesso do usurio aos programas a ele
fornecido pela diretiva de grupo, estes programas ficaram na rea de trabalho do
computador do usurio. Eles podem ser instalados diretamente pelo administrador do

domnio, apenas ligando a mquina na rede.
A interao entre os sistemas operacionais Linux e Windows, permitiu um nmero

maior de usurios trabalhando no mesmo domnio, alm da maior disseminao de
softwares livres.
45
7 . TRABALHOS FUTUROS
Conforme aplicaes de nosso trabalho, podemos constar que podero ser
realizadas outras tarefas, tais como:
Criar um novo domnio, onde este domnio ser o domnio pai, porm, utilizando
outros domnios filhos, para que haja uma relao de confiana entre esses
domnios.
Fazer uma relao de confiana entre departamentos, fazendo com que usurios de
locais diferentes possam logar em diferentes departamentos com um mesmo login e
uma senha.
Criao de UO, na qual ser compartilhada a administrao da empresa por outros

administradores, sendo que o administrador do domnio, repassar a cada novo
administrador uma nova tarefa, uma funo a administrar.
Fazer um cadastro dos alunos da Universidade Federal de Lavras no domnio

Laboratrio Institucional, medida que esse usurio venha a utilizar o sistema, pois
mediante seu cadastro, este usurio passar a ter um login e uma senha para
utilizao do domnio.
8 . REFERNCIAS BIBLIOGRFICAS
ALLEN, Robbie, PUCKETT, Richard. Managing Enterprise Active Directory Services.

Disponvel em <www.awprofessional.com>, 2002. Acessado em 19/ jan/ 2007
ARAUJO, Gorgonio. DHCP: Por que Usar? Disponvel em: Dsponvel em Rede
Nacional de Ensino e Pesquisa (RNP), <www.rnp.br/newsgen/9705/n1-2.>. Acessado em
12/ fev/ 2007
BIALASKI,
Tom.
Directory
Server
Security.
Disponvel
em
Disponvel
em
<http://www.sun.com/blueprints>, 2000. Acessado em 11/ jan/ 2007
Del,
David.
Active
Directory
and
Linux.
<http://www.securityfocus.com/static/submissions.>, 2002 . Acessado em 12/ out/ 2006
HENDERSON, Willian. Authenticating Linux against Active Directory Disponvel em

<www.windowsnetworking.com>, 2004. Acessado em 14/ out/ 2006
JURGENS, Tony. Tive Directory Delivers Leading LDAP Performance. Disponvel em

<http://www.microsoft.com/windows2000>, 2000. Acessado em 12/ nov/ 2006.
MARSHALL,
Oliver.
Windows
2003
AD:
An
Overview.
Disponvel
em
Disponvel
em
<www.windowsnetwork.com>, 2003. Acessado em 15 /dez /2006
MELBER,
Derek.
Windows
&
Active
Directory
Auditing.
<www.windows security.com>, 2005. Acessado em 24/ set/ 2006
PARAM, Kelvim. Building a Bridge to the Active Directory. Disponvel em

<www.perl.com/pub/a/2001/12/19/xmlrpc.> , 2001. Acessado em 19/ nov/ 2007
PICOTO,
Carlos.
Microsoft
Active
Directory.
Disponvel
em:
<http://www.fbnet.pt/red/0599/a03-01-00> Acesso em: 9/ out/ 2006.

POSSEY, Brien. Introducing Windows Vistas Active Directory Search Tool.
Disponvel em <www.windowsnetworking.com/articles_tutorials>, 2006. Acessado em 20/
nov/ 2006.
POSSEY, Brien. Making Your DNS Service Fault Tolerant. Disponvel em

<www.windowsnetwork.com>, 2005. Acessado em 26/jan/ 2007
SANTANA,
Fabio.
AD-Active
Directory.
Disponvel
em
<http://www.juliobattisti.com.br>, 2000. Acessado em 2/ fev/ 2007
SCHLEY, Andrew. Possible LDAP over SSI bug in OS 10, 10.4, 10.5, 10.6. Disponvel
em: <http://www.utexas.edu/its/wes/kutz>, 2004. Acessado em 28/ set /2007
SHIMONSKI, R. Determining the Funtional Level in Windows Server 2003.

Disponvel em <www.windows network.com>, 2005. Acessado em 12/ fev/ 2007
SHIMONSKI, Robert. File System Planning for Active Directory. Disponvel em

<windowsnetworking.com/articles_tutorials>, 2005. Acessado em 20/ nov/ 2006
TULLOCH, Mitch. How to Implement Group Policy Security Filtering. Disponvel em

<www.windowsnetworking.com>, 2005. Acessado em 12/ nov/ 2006
TULLOCK, Mitch. How to Implement Group Policy Security Filtering. Disponvel em

<www.windows network.com>, 2005. Acessado em 10/ nov/ 2007
Active Directory and Linux. Disponvel em:

<www.securityfocus.com/infocus/1563 - 46k> Acessado 12/ fev/ 2007.
Active Directory - Wikipedia, the free encyclopedia. Disponvel em:

<www.wikipedia.org/wiki/Active_Directory > Acessado em 13/ out/ 2006
48
ANDERSON, Christa; MINASI, Mark ;SMITH, Brian; TOOMBS, Doug. A Bblia do

Windows 2000 server. So Paulo: Makron Books , 2001
APOSTILA WINDOWS 2000. Introduo ao Active Directory. Sao Paulo: 2002, p.1.
Apostila LDAP iniciantes. Disponvel em <http://www.ldap.org.br/> Acessado em 1/ jul/

2006
BRITO, Ivana Campos. Servio de diretrio. Salvador: UCS, 2002.
How to Install Active Directory on Windows 2003. Disponvel em:

<www.petri.co.il/how_to_install_active_directory_on_windows_2003>
Acessado em 11/ out/ 2006
Protocolo LDAP. Disponvel em: <http://www.ldap.org.br/> Acessado em 1/ jul/ 2006
SANTOS, Anderson; CAMARA, Fbio. Implantando o Active Directory. Florianpolis:

Visual Books , 2002.
SENNA, Clovis. LDAP Um Guia Prtico. Rio de Janeiro: Cincia Moderna, 2005.
SOARES, Luiz Fernando Gomes; LEMOS, Guido; COLCHER, Srgio. Redes de

computadores. 2 ed. Rio de Janeiro: Campus, 1995.
THOMPSON, Marco Aurlio. Windows Server 2003: Administrao de Redes. So

Paulo: rica, 2003.
Windows Server 2003 Active Directory Disponvel em:

<www.microsoft.com/windowsserver2003/technologies/directory/activedirectory>
Acessado em 11/ out/ 2006
49

MONOGRAFIA Implantação e Estudo de Um Sistema Utilizando o Active Directory

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

MONOGRAFIA Implantação e Estudo de Um Sistema Utilizando o Active Directory

Uploaded by

Copyright:

Available Formats

ANDERSON VIGNATTI

IMPLANTAO E ESTUDO DE UM SISTEMA UTILIZANDO O ACTIVE

Monografia de graduao apresentada ao Departamento

IMPLANTAO E ESTUDO DE UM SISTEMA UTILIZANDO O ACTIVE

Monografia de graduao apresentada ao Departamento

Ficha Catalogrfica preparada pela Diviso de Processos Tcnicos da Biblioteca

IMPLANTAO E ESTUDO DE UM SISTEMA UTILIZANDO O ACTIVE

Monografia de graduao apresentada ao Departamento

Aprovada em 30 de maro de 2007

A Deus primeiramente, aos meus pais Angelo e

IMPLANTAO E ESTUDO DE UM SISTEMA UTILIZANDO O ACTIVE

As redes de computadores so uma realidade nesse contexto e tambm fazem parte

Portanto, o aumento no tamanho das redes e as constantes mudanas pelas quais as

Um problema bastante usual em empresas o de criar um sistema unificado de

IMPLANTATION AND STUDY OF A SYSTEM USING THE ACTIVE

A sufficiently usual problem in companies is to create a unified system of

AD- Active Directory

DNS- Domain Name System

LDAP- Lightweight Directory Access Protocol

TCP- Transmission Control Protocol

IP- Internet Protocol

DAP- Directory Access Protocol

OSI- Open Source Initiative

ISODE- International Organization for Standardization Development Environment

ITU- International Telecommunications Union

IETF- Internet Engineering Task Force

ADSI- Active Directory System Interface

URL- Universal Resource Locator

UOs- Unidades Organizacionais

DHCP- Dynamic Host Configuration Protocol

DC- Domain Controler

SO- Sistema Operacional

WAN- Wide Area Network

LAN- Local Area Network

MSI- Microsft Sistem Installer

Os sistemas distribudos freqentemente conduzem a uma administrao demorada

A segurana integrada ao Active Directory atravs da autenticao de logon e

o fato de que atualizaes feitas no diretrio j so feitas automaticamente em todas as

Um problema bastante usual em empresas o de criar um sistema unificado de

Este trabalho um resultado de experincia prtica, onde so mostrados todos os

Apresentar os principais benefcios que o AD pode trazer para as redes,

Os objetivos secundrios deste trabalho so:

Estudar como estabelecida a comunicao entre um computador cliente,

Devido a grande dificuldade que se tem de trabalhar com a base de dados de

A implantao do AD ir permitir a interao entre os sistemas operacionais Linux

1.3 Estrutura do trabalho

No captulo 2, descrevemos o principal protocolo que utilizado pelo AD,

No captulo 3, mostramos a principal ferramenta do Windows Server 2003, AD.

No captulo 4, mostramos a utilizao do protocolo LDAP no AD e algumas

No captulo 5, mostramos algumas aplicaes prticas que o AD nos proporciona,

O X.500 um Servio de Diretrio universal padronizado pela ITU (International

As informaes do LDAP esto guardadas segundo uma estrutura em rvore e

Atualmente, vrias aplicaes tm suporte para LDAP, uma delas a principal

Em alguns casos no substitui as Bases de Dados Relacionais.

As atualizaes so raramente efetuadas.

Permite o armazenamento confivel somente de dados estticos.

No possvel relacionar dois atributos, visto que no se trata de uma Base de

Dados Relacionais, mas sim de uma base de dados estruturada hierarquicamente.

O LDAP pode ser utilizado em vrias aplicaes como mostrado a seguir.

2.3 Aplicaes do LDAP

Vrias grandes empresas participaram do desenvolvimento de aplicaes que

Apache (atravs do Apache Directory Server)

Apple (atravs do Open Directory/OpenLDAP)