O que compe o Active Directory?

O diretrio do Active Directory composto por Objetos. Um objeto representa qualquer recurso que possuimos na rede. Uma conta de usurio que existe no Active Directory um objeto, um grupo um objeto, at uma impressora pode ser um objeto para o AD. Os dados que existem no diretrio so armazenados em um arquivo chamado Ntds.dit, que a base de dados do AD. Tudo o que criarmos no Active Directory armazenado nessa base de dados. Quando dizemos que o Active Directory nos permite gerenciar os nosso recursos de maneira centralizada, estamos dizendo que como tudo est localizado em um s local, s precisamos ir at esse local para fazer o que precisamos.
Objetos:

Quando criamos um objetos no AD, por exemplo uma conta de usurio, a mesma possui certas propriedades, como por exemplo seu nome, seu nome de logon, telefone, endereo, entre outras. Essas propriedades so o que chamamos de atributos dos objetos. Os principais tipos de objetos que o Active Directory no Windows 2003 nos disponibiliza so: - Contas de usurios - Grupos - Contas de computadores - Pastas Compartilhadas - Impressoras - Contatos
Domnios:

O Active Directory composto por domnios. Um domni o uma unidade administrativa do Active Directory, que ir armazenar seus objetos. Por exemplo, nossa empresa (empresa1) tem a matriz localizada em So Paulo, com cerca de 180 funcionrios. Poderiamos criar um domnio para so Paulo (empresa1.com.br) e a base de dados do AD desse domnio conteria os objetos que pertecem a So Paulo, como por exemplo as contas de usurio dos funcionrios, os computadores dos funcionrios, e as politicas de segurana relacionas So Paulo. Quem cuidaria de tudo isso seria o Administrador de domnio de so Paulo, que poderia ser o nosso analista de So Paulo. Mas e se voc tivesse uma outra empresa localizada em Fortaleza, por exemplo a "empresa2"? OK, voc poderia criar um outro domnio para sua empresa de Forteza(empresa2.com.br), que conteria os objetos de Fortaleza, por exemplo as contas de usurios dos seus funcionrios de Fortaleza, e esses objetos seriam administrados por uma outra pessoa, que nada tem a ver com o nosso analista de So Paulo. Muito simples, no ? Ma s aqui j conseguimos ver dois conceitos fundamentais do Active Directory. Vimos que um domnio realmente pode ser uma unidade administrativa e que pode ser administrada de maneira centralizada. (Lembre -se quando eu falei que o administrador de So Paulo c uidaria de todos os objetos de So Paulo). E vimos tambm que os objetos de um domnio so especficos daquele domnio, ou seja no nosso exemplo as contas de usurios de So Paulo so armazenadas no domnio "empresa1.com.br", enquanto as de Fortaleza so armazenada l (no domnio "empresa2.com.br"). Fortaleza no precisa nem saber da

existncia dos objetos de So Paulo pois temos duas empresas completamente distintas e vice-versa.
Domain Controllers:

Mas qualquer Servidor Windows 2003 pode ter o AD instala do? Basicamente sim, nas verses Standard Edition, Enterprise Edition e Datacenter Edition. A verso web Edition no pode ser configurada como domain controller. Quando estamos instalando o AD em um servidor Windows 2003, somos requisitados a fornecer um nome para o nosso domnio. Ento chegamos a uma grande concluso: Quando estamos instalando o Ad que criamos o nosso domnio. No possvel criar um domnio antes e depois instalar o AD no nosso servidor. Esse processo ocorre junto, no momento que esta mos instalando o AD. E o nome que voc ir colocar? Bom esse nome ser o nome de seu domnio. Por exemplo, na nossa "Empresa1" , poderamos criar o seu domnio como o nome de "empresa1.com.br" (ainda mais no caso da empresa ter presena na internet, vocs vero quo til ser criar o nome de seu domnio Windows 2003 com o nome de seu domnio na internet.). Mas voc tambm poderia criar o seu domnio com qualquer outro nome, como por exemplo "empresa1", "leticia.empresa1" ou "sp.empresa1.com.br", qualquer no me que voc deseja. No Windows 2003 possvel modificar o nome de seu domnio depois que ele j tenha sido criado, algo que no podamos fazer com o Windows 2000. Se o o nome do nosso servidor Windows 2003 fosse "servidor1", depois que ele fosse promivod a domain controller, seu nome seria :"servidor1.empresa1.com.br", pois ele um domain controller do domnio "empresa1.com.br". No Windows 2003 possvel modificar o nome de seu domain controller depois que ele j tenha sido promovido, algo que tambm no podamos fazer no Windows 2000.
rvores:

A definio de uma rvore "um arranjamento hierrquivo de domnios". Quando criamos o nosso domnio, criamos tambm um rvore. O nome de nossa rvore ser o mesmo nome que configuramos para o nosso domnio. Ent o o nome de nossa rvore ser "empresa1.com.br". Mas para que serve tudo isso? Suponhamos que na nossa empresa, existe uma filial ou um outro departamento que necessita configuraes totalmente diferentes do nosso primeiro domnio. Ento poderiamos criar u m outro domnio para nosso departamento. Mas os objetos utilizados pelos dois domnios no sero comuns? Quem ir gerenciar os dois domnios provavelmente ser o mesmo administrador? Se a resposta for sim para qualquer uma das perguntas, provavelmente o que precisamos no de somente um novo domnio mas sim de um novo "Subdomnio". Um subdomnio um domnio que est abaixo de outro domnio na hierarquia da rvore. (usamos tambm o termo "child domain" para o subdomnio). Ento se departamento "depto1" fos se o nosso departamento que precisa de um subdomnio, poderiamos criar o subdomnio "depto1.empresa1.com.br". Para isso, usariamos um servidor (por exemplo o "servidor2") do departamento "depto1" e promoveriamos ele a domain controller, criando o domnio " depto1.empresa1.com.br". S que agora, a instalao seria diferente. Ao invs de criar uma nova rvore (como tinhamos feito) vamos criar um "subdomnio para uma rvore j existente". O nome do nosso domain controller ficaria: "servidor2.depto1.empresa1.com .br". Porm tambm temos nossa outra empresa, a "empresa2". No poderiamos colocar seu domnio na mesma rvore que a empresa1, pois as empresas possuem nomes distintos. Ento a

sol o osso obl seri ri r ova rvore ara a empresa2 a oss a floresta. Pegariamos m servi or i ows 2003 a empresa2" e promoveriamos ele a omai ontroller e onfigurariamos o nosso omnio omo um nova rvore na floresta "empresa1. om.br". epois e todas as onfiguraes feitas, a nossa estrutura fi aria assim:

Fl

ma floresta indows 2003 omposta de por uma ou mais rvores de domnios indows 2003 ue no ompartil am um namespace comum. m floresta o limite mais externo do Active irectory. o nosso caso, temos uma rvore e dois domnios , todos participando da mesma floresta. as para ter uma floresta eu preciso de pelo menos uma rvore e um domnio certo? Sim! E uando a floresta criada? Ela criada uando criamos o nosso primeiro domnio. uando pegamos o nosso servidor "Servidor1"e o promovemos a domain controller, criamos o domnio "empresa1.com.br" e ao mesmo tempo tambm criamos a rvore "empresa1.com.br" e a floresta "empresa1.com.br". nome da floresta o nome do primeiro domnio criado, o ual tambm chamamos de "forest roo domain". t
g iz i lU i

Para podermos entender a utili ao de rgani ational nits, vamos pensar em um exemplo simples: voc tem os seus arquivos, o qual voc coloca em pastas para organi los melhor, certo? Voc pderia coloc-los direto na rai de sua unidade? por exemplo, colocar todos os seus aruivos direto em : Sim, poderia. Isso iria funcionar? Sim, iria funcionar. as isso seria funcional? om certeza no. udo bem, voc saberia onde esto seus arquivos, mas e at voc encontrar o que v oc precisa? evaria muito mais tempo dessa maneira do que se eles estivesse organizados em pastas especficas. A idia de rganizational nits, ou como so mais conhecidas "OUs", termos pastas para poder organizar melhor os objetos do domnio, poder aplicar configuraes de segurana e delegar autoridade administrativa. Por exemplo, se na nossa empresa tivessemos cinco departamentos com mais ou menos 70 funcionrios em cada um deles. Poderiamos colocar todas as contas de usurios, grupos, impressoras, e computadores diretamente no domnio. as e se precisssemos aplicar um politica de segurana s para os funcionrios do departamento de vendas? eriamos de aplicar a configurao no domnio e ela sobrecairia em todos os objetos do domnio, o que no era odesejado. as poderiamos criar uma OU para o departamento vendas, colocar todos os objetos respectivos ao departamento vendas na OU e aplicar a politica de segurana na OU, o que nada afetaria os outros objetos do nosso domnio. Alm disso, mesmo que no fosse necessrio aplicar politicas de segurana especficas para os outros departamentos, poderiamos criar uma OU para cada departamento e colocar os

objetos especficos nas OUs. Para visualizarmos as OU que existem em nosso domnio, utilizamos a feramente "Active irectory Users and omputers" que fica na pasta "Administrative ools".

o Active irectory, todos os omain ontrollers so iguais. Ou quase... Existem algumas funes especiais assinaladas somente a um certo . Essas funes so chamadas de Operations asters. Por padro o primeiro da floresta o que possui as cinco funes e o primeiro de cada domnio possui trs dessas funes.

Schema Master:

Possui a funo de controlar as alteraes ao schema da florest . o schema que a contm as definio de todos os objetos que podem ser criados em qualquer domnio da floresta quando o primeiro domnio criado, o A nos disponibiliza cerca de 200 objetos, porm mais objetos podem ser adicionados- manualmente, ou pela instalao do outros softwares, como por exemplo o Exchange 2000. .
Domain Naming Master:

responsvel por fazer a adio e remoo de domnios na loresta.

Funes a n el de Domnio: Infrastructure Master:

o responsvel por atualizar referncias de objetos do outros domnios no nosso domnio. Ele possui uma relao estreita com o lobal atalog. uando ele acha que alguns objetos esto desatualizados, ele contacta o lobal atalog em busca de informaes atuais, para poder atualizar as suas. Porm se o que o Infrastructure aster for tambm o lobal atalog, o Infrastructure aster no ir funcionar. Isso acontece por que como ele no tem como saber se as informaes na sua base de dados j esto atualizadas ou no, ele nunca ir tentar buscar por novas atualizaes.



Funes

 

n el de Fl

esta:

 o responsvel por assinalar blocaos de RIDs para os outros domain controllers do domnio. Cada objeto criado em um DC recebe um Relative Identifier (RID), que vem do bloco de RIDs recebidos. Se um DC estiver sem mais nenhum RID para ser alocado a um novo objeto, ele requisita mais um bloco de RIDs ao RID Master. Se o RID master estiver fora da rede, o DC que est requisitando o bloco no poder mais criar nenhum objeto at rece ber um novo bloco.
PDC Emulator:

o DC responsvel por atuar como PDC para BDCs NT 4.0 que ainda existam em nossa rede. Alm de desempenhar essa funo, ele responsvel por fazer a mudana de senhas para clientes anteriores ao Windows 2000, sincronizar o horrio de todos os DCs da rede com o seu e o parceiro de replicao preferido para mudanas de senhas (Isso significa que, quando alterarmos a nossa senha a partir, por exemplo, de um cliente Window XP, essa senha pode ser alterada em qualquer DC, mas esse DC ter que replicar imediatamente essa mudana para o PDC emulator. Isso muito importante na seguinte situao: Voc muda a sua senha em um DC; e logo tenta se autenticar em outro DC, porm esse outro DC no recebeu a replicao do Dc em que sua s enha foi alterada e no o PDC Emulator. O seu comportamento padro seria rejeitar a sua tentativa de autenticao, pois com as informaes que ele possui, sua senha est incorreta. Porm, antes que qualquer DC rejeite uma tentativa de autenticao por se nha incorreta, ele contacta o PDC Emulator para saber se houve alguma mudana. No nosso caso, o DC que estamos tentando nos autenticar contacta o PDC, verifica que nossa senha foi alterada e autoriza o nosso logon.)
Global Catalo :

O Global Catalog respo nsvel por conter um cpias das informaes mais buscadas na floresta. Por padro, ele inclui cerca de 20 por cento das informaes existentes na floresta. ele que permite que sejam feitas buscas por objetos, no importando seu local na floresta, permite o logon de um usurio de qualquer domnio se autentique em qualquer outro domnio da mesma floresta e ele tambm responsvel por armazenar informaes sobre a participao em grupos universais. Por padro, o primeiro DC da floresta o Global Catalog Se rver, mas qualquer outro DC pode ser um Global Catalog. Para tornar um DC Global Catalog, fazemos o seguinte: Clicamos em Start, Pro rams, A ministrative tools e em Active Directory Sites an Services:

RID

aster:

Em Acti e Directory Sites And Services, lique em "Default-First-Site-Name", depois em "Servers", no nome do seu servidor que ser o lobal atalog, em " TDS N Settings":

E em "NTDS Settings", clicamos com o boto direito em vamos em propriedades:

E habilitamos a checkbox do "Global atalog". possumos o nosso ovo "Global atalog".

epois s clicar em OK e j

omo, por exemplo para poder obter informaes sobre a participao em grupos universais, os s precisam consultar o Global atalog, seria interessante ter diversos "Global atalogs" espalhados por nossos Sites ogo vamos falar sobre sites). Porm isso no necessrio em um ambiente nativo indows 2003. Porm configurar que todos os s de um sites armazenem no seu cache as informaes que j consultaram no Global atalog. Esse um novo recursono windows 2003! Ento vamos ver como fazer essa configurao: Voltamos no Active Directory sites And Services, vamos em "Default-First-SiteName", em "NTDS Settings", clicamos com o boto direito e vamos em propriedades:

E habilitamos a opo "Enable Universal Est feito!

Sites:

roup Membership

aching".

O domnio a diviso lgica da nossa rede. J para podermos dividi fisicamente, -la utilizamos os sites. omain ontrollers no mesmo site possuem uma conexo de alta velocidade entre eles. J s que no possuem um boa conexo no mnimo 500 Kbps) entre eles, devem ser colocados em sites diferentes. Isso deve ser feito por que s no mesmo site replicam por um mecanismo chamado "Change otification", que de 5 minutos; isto significa que quando houver a lguma alterao em um C, depois de 5 minutos ele ir replicar essas informaes recebidas aos outros Cs. J entre sites, esse mecanismo no utilizado. A replicao ocorre de acordo com o tempo configurado por padro de 180 minutos). Bom vamos ver como criar um outro site! Vamos novamente em Active Directory Sites And Services, e em Sites, clicamos com o boto direito em vamos em "New Site":

Colocamos o nome do nosso site SP_site) e configuramos o link dele clicando em "DEFAULTIPSITELINK", e depois clicamos em OK.

Veja, o nosso site j est criado! Novas Funcionalidades do Active Directory: Funcionalidade drag-and-drop: Agora possvel arrastar objetos para outros container do A outras Ous). Saved ueries: possvel salvar parmetros de buscas muito utilizados.

Ferramentas e linha e coman o : Executar comando antes s feitos por wizards por linha de comando. Instalao e um DC a icional pelo backup e outro : Agora possvel fazer a instalao de um DC, pelo backup de outro, evitando o tempo que as informaes tinham de ser replicadas. niversal emebership Cachin : Como vimos, possvel que qualquer Dc guarde em seu cache as informaes que ele j consultou no global catalog, evitando trfego desnecessrio na rede. Renomear um Domain Controller: Agora possvel renomer um DC sem ter que despromov-lo e promov-lo novamente. Relaes e confiana bi - irecionais transitivas entre florestas Reestruturao e florestas : Modificar a disposio de domnios na floresta s em ter que despromov-los.