Active Directory no Windows 2000

5 de 5 pessoas classificaram isso como til - Avalie este tpico

Por Fabiano de Santana, MCP - MCSA 2000 Security - MCSE 2000 Security - MCSA 2003 - MCSE 2003
O Active Directory surgiu da necessidade de se ter um nico diretrio, ou seja, ao invs do usurio ter uma senha para acessar o sistema principal da empresa, uma senha para ler seus e-mails, uma senha para se logar no computador, e vrias outras senhas, com a utilizao do AD, os usurios podero ter apenas uma senha para acessar todos os recursos disponveis na rede. Podemos definir um diretrio como sendo um banco de dados que armazena as informaes dos usurios. O AD surgiu juntamente com o Windows 2000 Server. Objetos como usurios, grupos, membros dos grupos, senhas, contas de computadores, relaes de confiana, informaes sobre o domnio, unidades organizacionais, etc, ficam armazenados no banco de dados do AD. Alm de armazenar vrios objetos em seu banco de dados, o AD disponibiliza vrios servios, como: autenticao dos usurios, replicao do seu banco de dados, pesquisa dos objetos disponveis na rede, administrao centralizada da segurana utilizando GPO, entre outros servios. Esses recursos tornam a administrao do AD bem mais fcil, sendo possvel administrar todos os recursos disponveis na rede centralizadamente. Para que os usurios possam acessar os recursos disponveis na rede, estes devero efetuar o logon. Quando o usurio efetua logon, o AD verifica se as informaes fornecidas pelos usurios so vlidas e faz a autenticao, caso essas informaes sejam vlidas. O AD organizado de uma forma hierrquica, com o uso de domnios. Caso uma rede utilize o AD, poder conter vrios domnios. Um domnio nada mais do que um limite administrativo e de segurana, ou seja, o administrador do domnio possui permisses somente no domnio, e no em outros domnios. As polticas de segurana tambm se aplicam somente ao domnio, e no a outros domnios. Resumindo: diferentes domnios podem ter diferentes administradores e diferentes polticas de segurana. Ao utilizar os domnios baseados no AD, temos os seguintes recursos:

Logon nico: com esse recurso, o usurio necessita fazer apenas um logon para acessar os recursos em diversos servidores da rede, inclusive e-mail e banco de dados. Conta de usurio nica: os usurios possuem apenas um nome de usurio para acessar os recursos da rede. As contas de usurios ficam armazenadas no banco de dados do AD. Gerenciamento centralizado: com os domnios baseados no AD, temos uma administrao centralizada. Todas as informaes sobre contas de usurios, grupos e recursos da rede, podem ser administradas a partir de um nico local no domnio.

Escalonabilidade: os domnios podem crescer a qualquer momento, sem limite de tamanho. A forma de administrao a mesma para uma rede pequena ou grande.

Figura 1 - Recursos de um Domnio baseado no AD Nos domnios baseados no AD, podemos ter dois tipos de servidores:

Controlador de Domnio (DC - Domain Controller): o computador que possui o AD instalado, ou seja, um servidor que possui uma cpia da base de dados do AD. Em um mesmo domnio podemos ter mais de um Controlador de Domnio. As alteraes efetuadas em um DC so replicadas para todos os outros DC's. So os DC's quem fazem a autenticao dos usurios de um domnio. Servidor Membro (Member Server): um servidor que no possui uma cpia do AD, porm tem acesso aos objetos do AD. No fazem a autenticao dos usurios.

Os domnios do Windows 2000 podem estar nos seguintes modos:

Native (Nativo): utilizado em domnios que possuem somente Controladores de Domnio (DC) Windows 2000. Mixed (Misto): utilizado em domnios que possuem Controladores de Domnio (DC) Windows 2000 e Windows NT.

Para a instalao do AD necessrio que o servio DNS esteja disponvel, ou seja, um pr-requisito para a instalao do AD. O AD utiliza o DNS para a nomeao de servidores e recursos, e tambm para resoluo de nomes. Caso o servio DNS no esteja disponvel na rede durante a instalao do AD, poderemos instal-lo durante a instalao do AD. Com a utilizao de domnios, podemos fazer com que nossa rede reflita a estrutura de uma empresa. Quando utilizamos vrios domnios temos o conceito de relao de confiana. A relao de confiana permite que os usurios de ambos os domnios acessem os recursos localizados nesses domnios. No Windows 2000, as relaes de confianas so bidirecionais e transitivas, ou seja, se o domnio X confia no domnio Y, e Y confia no domnio W, o domnio X tambm confia no domnio W. Algumas caractersticas prprias de cada domnio:

Um domnio armazena informaes somente dos objetos do prprio domnio. Um domnio possui suas prprias diretivas de segurana.

Inicio da pagina

Exemplo prtico - Instalar o Active Directory.

Nesse exemplo instalaremos o AD em um servidor Windows 2000. Criaremos um novo domnio e deixaremos que o assistente de instalao do AD configure o DNS automaticamente. Lembre-se: para que o AD possa ser instalado corretamente, o servio DNS deve estar disponvel na rede ou deveremos configur-lo durante a instalao do AD.

Efetue logon em um servidor Windows 2000 com a conta Administrator (Administrador); Selecione Start (Iniciar), Run (Executar) e digite dcpromo. Tecle Enter; Caso o Terminal Services esteja instalado nesse servidor, ser exibida uma mensagem informando que depois da instalao do AD, somente as contas de usurios com a permisso de Administrador do domnio podero fazer logon remotamente utilizando o Terminal Services. Clique em OK; O Assistente de instalao do AD ser aberto. Clique em Next (Avanar); Defina agora se o servidor far parte de um novo domnio ou se o servidor far parte de um domnio j existente. Selecione a opo Domain controller for a new domain (Controlador de domnio para um novo domnio) e clique em Next (Avanar);

Figura 2 - Instalao do AD

Na tela abaixo temos 2 opes: o Create a new domain tree (Criar uma nova rvore de domnio): selecionamos essa opo quando vamos criar o primeiro domnio (root) de uma empresa.

Create a new child domain in an existing domain tree (Criar um novo domnio filho em uma rvore de domnio existente): selecionamos essa opo quando vamos criar um novo domnio filho em uma rvore de domnios j existente. Selecione a opo Create a new domain tree (Criar uma nova rvore de domnio) e clique em Next (Avanar);
o

Figura 3 - Instalao do AD

" Defina agora se uma nova floresta ser criada (Create a new forest of domain trees) ou se o domnio que est sendo criado far parte de uma floresta j existente (Place this new domain tree in an existing forest). Selecione a opo Create a new forest of domain trees (Criar uma nova floresta de rvores de domnio) e clique em Next (Avanar);

Figura 4 - Instalao do AD

Fornea o nome completo do domnio (FQDN) que ser criado. Para nosso exemplo, digite manual70-215.com e clique em Next (Avanar);

Figura 5 - Instalao do AD

" Defina agora o nome NETBIOS do domnio. O nome NETBIOS utilizado por questes de compatibilidade com clientes mais antigos. Digite MANUAL70-215 na tela abaixo e clique em Next (Avanar);

Figura 6 - Instalao do AD

" Defina agora o local onde sero gravadas as informaes do AD, como arquivos de log e base de dados do AD. recomendado que a partio na qual esses arquivos sero armazenados esteja formatado com o sistema de arquivos NTFS. Aceite a configurao padro e clique em Next (Avanar);

Figura 7 - Instalao do AD

Defina o local onde a pasta SYSVOL ser criada. Essa pasta contem informaes essnciais para o funcionamento do AD e implementao das GPO's. Essa pasta deve ser criada em uma partio formatada com o sistema de arquivos NTFS. Aceite a configurao padro e clique em Next (Avanar);

Figura 8 - Instalao do AD

Como no temos o servio DNS disponvel na rede, ser exibida uma mensagem informando que o Assistente no localizou um servidor DNS. Clique em OK; Agora selecione a opo Yes, install and configure DNS on this computer (Sim, instalar e configurar o DNS neste computador). Com isso o assistente ir instalar e configurar o servio DNS nesse servidor. Clique em Next (Avanar);

Figura 9 - Instalao do AD

Defina agora o tipo de permisso padro utilizada para os objetos usurios e grupos. Existem 2 opes: o Permissions compatible with pre-Windows 2000 Servers (Permisses compatveis com servidores anteriores ao Windows 2000): essa opo deve ser selecionada quando existem servidores que rodem verses anteriores ao Windows 2000, ou servidores Windows 2000 membros de um domnio Windows NT. Com essa opo, o acesso annimo ser permitido no servidor. o Permissions compatible only with Windows 2000 Servers (Permisses compatveis somente com servidores Windows 2000): essa opo deve ser selecionada quando todos os servidores rodarem verses do Windows 2000 ou superior. Com essa opo, o acesso ao servidor somente poder ser feito por usurios autenticados. Selecione a opo Permissions compatible only with Windows 2000 Servers (Permisses compatveis somente com servidores Windows 2000) e clique em Next (Avanar);

Figura 10 - Instalao do AD

Defina agora a senha que ser utilizada quando o servidor for inicializado no modo de restaurao do AD. Informe a senha 2 vezes e clique em Next (Avanar);

Figura 11 - Instalao do AD

Clique em Next (Avanar) novamente;

Agora o assistente far todas as configuraes necessrias para que o AD seja instalado e o domnio manual70-215.com seja criado. Durante esse processo, o CD de instalao do Windows 2000 Server poder ser solicitado. Caso seje, insira o CD e clique em OK; Clique em Finish (Concluir).

Aps a instalao do AD, algumas modificaes so feitas no servidor onde o AD foi instalado:

O servidor promovido a Domain Controller (Controlador de Domnio). A pasta NTDS criada. Essa pasta armazena os arquivos de log do AD e a base da dados do AD. A pasta SYSVOL criada. Essa pasta contem informaes essncias para o funcionamento do AD e implementao das GPO's. Novos consoles para a administrao do AD so criados: o Active Directory Domains and Trusts (Domnios e confianas do Active Directory): nesse console administramos as relaes de confiana criadas entre os domnios, configuramos o nvel de funcionalidade do domnio e gerenciamos o sufixo utilizado pelas contas de usurios. o Active Directory Sites and Services (Sites e servios do Active Directory): nesse console gerenciamos a replicao do Active Directory. o Active Directory Users and Computers (Usurios e computadores do Active Directory): nesse console administramos as contas e grupos de usurios, unidades organizacionais e GPO's. o Domain Controller Security Policy (Diretiva de Segurana do Controlador de Domnio): nesse console configuramos as polticas de segurana aplicadas nos Controladores de Domnio. o Domain Security Policy (Diretiva de Segurana do Domnio): nesse console configuramos as polticas de segurana do domnio.

Inicio da pagina