Desvendando o Active Directory no

Windows 2003
AD é um serviço de diretório na nossa rede Windows 2003 (Lembrando, um serviço de
diretório é um conjunto de informações sobre os recursos e serviços que existem em nossa
rede). Ele armazena dados sobre contas de usuários, grupos, computadores e recursos e
disponibiliza essas informações para usuários e também para aplicativos. Ele pode
armazenar um grande número de informações, sendo totalmente escalonável (pode começar
com um pequeno número de objetos e crescer de acordo com nossa necessidade).

Mas para que realmente eu vou usá-lo?

Imagine que na sua empresa você tem cerca de 250 máquinas e cerca de 500 funcionários
que trabalham em dois turnos diferentes, ou seja cada máquina é utilizada por no mínimo
dois usuários. Como você não dispõe do Active Directory ainda, você terá que criar em cada
máquina no mínimo 2 contas de usuário locais. OK OK, ainda é viável. Mas e se você tiver
que instalar o Office 2003, configurar o internet explorer, aplicar uma série de politicas de
segurança e mapear drives na rede para cada usuário? Agora ficou praticamente inviável.
Calma, calma, eu sei que isso até poderia ser feito, mas pergunto a vocês, valeria realmente
a pena? Ter todo o gerenciamento dos recursos de uma maneira tão descentralizada?
Imagine o seu pesadelo toda vez que um usuário esquecesse a senha... Você teria que ir até
o computador dele e resetar a senha dele. É muita perda de tempo para tão pouco resultado.
O Active Directory é justamente a solução para todos esses problemas! Como ele armazena
os nossos recursos centralmente, todas as contas de usuários poderiam ser armazenadas em
um só local! E poderiamos gerenciar também as contas a partir desse local. Configurar tudo
o que precisamos para os nosso usuários, controlar o que os usuários podem acessar,
instalar todos os softwares que eles precisam, tudo a partir desse mesmo local. Fantástico
não é? Sim, mas vamos com calma, que vocês vão se surpreender ainda mais!

O que compõe o Active Directory?

O diretório do Active Directory é composto por Objetos.

Um objeto representa qualquer recurso que possuimos na rede. Uma conta de usuário que
existe no Active Directory é um objeto, um grupo é um objeto, até uma impressora pode ser
um objeto para o AD.
Os dados que existem no diretório são armazenados em um arquivo chamado Ntds.dit, que é
a base de dados do AD.
Tudo o que criarmos no Active Directory é armazenado nessa base de dados. Quando
dizemos que o Active Directory nos permite gerenciar os nosso recursos de maneira
centralizada, estamos dizendo que como tudo está localizado em um só local, só precisamos
ir até esse local para fazer o que precisamos.

Objetos:

Quando criamos um objetos no AD, por exemplo uma conta de usuário, a mesma possui
certas propriedades, como por exemplo seu nome, seu nome de logon, telefone, endereço,
entre outras.
Essas propriedades são o que chamamos de atributos dos objetos. Os principais tipos de
objetos que o Active Directory no Windows 2003 nos disponibiliza são:

- Contas de usuários
- Grupos
- Contas de computadores
- Pastas Compartilhadas
- Impressoras
- Contatos

Domínios:

1
O Active Directory é composto por domínios. Um domínio é uma unidade administrativa do
Active Directory, que irá armazenar seus objetos. Por exemplo, nossa empresa (empresa1)
tem a matriz localizada em São Paulo, com cerca de 180 funcionários. Poderiamos criar um
domínio para são Paulo (empresa1.com.br) e a base de dados do AD desse domínio conteria
os objetos que pertecem a São Paulo, como por exemplo as contas de usuário dos
funcionários, os computadores dos funcionários, e as politicas de segurança relacionas à São
Paulo.
Quem cuidaria de tudo isso seria o Administrador de domínio de são Paulo, que poderia ser o
nosso analista de São Paulo.
Mas e se você tivesse uma outra empresa localizada em Fortaleza, por exemplo a
"empresa2"? OK, você poderia criar um outro domínio para sua empresa de
Forteza(empresa2.com.br), que conteria os objetos de Fortaleza, por exemplo as contas de
usuários dos seus funcionários de Fortaleza, e esses objetos seriam administrados por uma
outra pessoa, que nada tem a ver com o nosso analista de São Paulo.
Muito simples, não é? Mas aqui já conseguimos ver dois conceitos fundamentais do Active
Directory. Vimos que um domínio realmente pode ser uma unidade administrativa e que
pode ser administrada de maneira centralizada. (Lembre-se quando eu falei que o
administrador de São Paulo cuidaria de todos os objetos de São Paulo). E vimos também que
os objetos de um domínio são específicos daquele domínio, ou seja no nosso exemplo as
contas de usuários de São Paulo são armazenadas no domínio "empresa1.com.br", enquanto
as de Fortaleza são armazenada lá (no domínio "empresa2.com.br"). Fortaleza não precisa
nem saber da existência dos objetos de São Paulo pois temos duas empresas completamente
distintas e vice-versa.

Domain Controllers:

Mas qualquer Servidor Windows 2003 pode ter o AD instalado? Basicamente sim, nas
versões Standard Edition, Enterprise Edition e Datacenter Edition. A versão web Edition não
pode ser configurada como domain controller.
Quando estamos instalando o AD em um servidor Windows 2003, somos requisitados a
fornecer um nome para o nosso domínio.
Então chegamos a uma grande conclusão: Quando estamos instalando o Ad é que criamos o
nosso domínio. Não é possível criar um domínio antes e depois instalar o AD no nosso
servidor. Esse processo ocorre junto, no momento que estamos instalando o AD. E o nome
que você irá colocar? Bom esse nome será o nome de seu domínio. Por exemplo, na nossa
"Empresa1" , poderíamos criar o seu domínio como o nome de "empresa1.com.br" (ainda
mais no caso da empresa ter presença na internet, vocês verão quão útil será criar o nome
de seu domínio Windows 2003 com o nome de seu domínio na internet.). Mas você também
poderia criar o seu domínio com qualquer outro nome, como por exemplo "empresa1",
"leticia.empresa1" ou "sp.empresa1.com.br", qualquer nome que você deseja.

DICA!

No Windows 2003 é possível modificar o nome de seu domínio depois que ele já tenha sido
criado, algo que não podíamos fazer com o Windows 2000.

Se o o nome do nosso servidor Windows 2003 fosse "servidor1", depois que ele fosse
promivod a domain controller, seu nome seria :"servidor1.empresa1.com.br", pois ele é um
domain controller do domínio "empresa1.com.br".

DICA!

No Windows 2003 é possível modificar o nome de seu domain controller depois que ele já
tenha sido promovido, algo que também não podíamos fazer no Windows 2000.

Árvores:

A definição de uma árvore é "um arranjamento hierárquivo de domínios". Quando criamos o

nosso domínio, criamos também um árvore. O nome de nossa árvore será o mesmo nome
que configuramos para o nosso domínio. Então o nome de nossa árvore será
"empresa1.com.br". Mas para que serve tudo isso? Suponhamos que na nossa empresa,

2
existe uma filial ou um outro departamento que necessita configurações totalmente
diferentes do nosso primeiro domínio. Então poderiamos criar um outro domínio para nosso
departamento. Mas os objetos utilizados pelos dois domínios não serão comuns? Quem irá
gerenciar os dois domínios provavelmente será o mesmo administrador? Se a resposta for
sim para qualquer uma das perguntas, provavelmente o que precisamos não é de somente
um novo domínio mas sim de um novo "Subdomínio". Um subdomínio é um domínio que está
abaixo de outro domínio na hierarquia da árvore. (usamos também o termo "child domain"
para o subdomínio). Então se departamento "depto1" fosse o nosso departamento que
precisa de um subdomínio, poderiamos criar o subdomínio "depto1.empresa1.com.br". Para
isso, usariamos um servidor (por exemplo o "servidor2") do departamento "depto1" e
promoveriamos ele a domain controller, criando o domínio "depto1.empresa1.com.br". Só
que agora, a instalação seria diferente. Ao invés de criar uma nova árvore (como tinhamos
feito) vamos criar um "subdomínio para uma árvore já existente". O nome do nosso domain
controller ficaria: "servidor2.depto1.empresa1.com.br". Porém também temos nossa outra
empresa, a "empresa2". Não poderiamos colocar seu domínio na mesma árvore que a
empresa1, pois as empresas possuem nomes distintos. Então a solução para nosso problema
seria criar uma nova árvore para a empresa2 na nossa floresta. Pegariamos um servidor
Windows 2003 na "empresa2" e promoveriamos ele a domain controller e configurariamos o
nosso domínio como um nova árvore na floresta "empresa1.com.br". Depois de todas as
configurações feitas, a nossa estrutura ficaria assim:

Florestas:

Uma floresta Windows 2003 é composta de por uma ou mais árvores de domínios Windows
2003 que não compartilham um namespace comum. Um floresta é o limite mais externo do
Active Directory. No nosso caso, temos uma árvore e dois domínios, todos participando da
mesma floresta. Mas para ter uma floresta eu preciso de pelo menos uma árvore e um
domínio certo? Sim!
E quando a floresta é criada? Ela é criada quando criamos o nosso primeiro domínio. Quando
pegamos o nosso servidor "Servidor1" e o promovemos a domain controller, criamos o
domínio "empresa1.com.br" e ao mesmo tempo também criamos a árvore
"empresa1.com.br" e a floresta "empresa1.com.br". O nome da floresta é o nome do
primeiro domínio criado, o qual também chamamos de "forest root domain".

Organizational Units:

Para podermos entender a utilização de Organizational Units, vamos pensar em um exemplo

simples: você tem os seus arquivos, o qual você coloca em pastas para organizá-los melhor,
certo? Você pderia colocá-los direto na raiz de sua unidade? (por exemplo, colocar todos os
seus aruivos direto em C:) Sim, poderia. Isso iria funcionar? Sim, iria funcionar. Mas isso
seria funcional? Com certeza não. Tudo bem, você saberia onde estão seus arquivos, mas e
até você encontrar o que você precisa? Levaria muito mais tempo dessa maneira do que se
eles estivesse organizados em pastas específicas. A idéia de Organizational Units, ou como
são mais conhecidas "OUs", é termos pastas para poder organizar melhor os objetos do
domínio, poder aplicar configurações de segurança e delegar autoridade administrativa. Por
exemplo, se na nossa empresa tivessemos cinco departamentos com mais ou menos 70
funcionários em cada um deles. Poderiamos colocar todas as contas de usuários, grupos,
impressoras, e computadores diretamente no domínio. Mas e se precissásemos aplicar um

3
politica de segurança só para os funcionários do departamento de vendas? Teriamos de
aplicar a configuração no domínio e ela sobrecairia em todos os objetos do domínio, o que
não era o desejado. Mas poderiamos criar uma OU para o departamento vendas, colocar
todos os objetos respectivos ao departamento vendas na OU e aplicar a politica de segurança
na OU, o que nada afetaria os outros objetos do nosso domínio. Além disso, mesmo que não
fosse necessário aplicar politicas de segurança específicas para os outros departamentos,
poderiamos criar uma OU para cada departamento e colocar os objetos específicos nas OUs.
Para visualizarmos as OU que existem em nosso domínio, utilizamos a feramente "Active
Directory Users and Computers" que fica na pasta "Administrative Tools".