Vous êtes sur la page 1sur 76

Windows 2000 Server

Sistema operacional para servidor

Consideraes sobre o design e a


implantao do Active Directory
Documento tcnico
Resumo

O Windows 2000 Server oferece diversos recursos e tecnologias que devem ser seriamente
analisados ao se projetar e implantar o Windows 2000 como infra-estrutura e elemento funcional de uma
organizao. Este documento analisa o design do espao de nome de DNS, o design do espao de
nome do Active Directory, o planejamento da segurana e as consideraes das Diretivas de grupo.
1999 Microsoft Corporation. Todos os direitos reservados.

As informaes contidas neste documento representam a viso atual da Microsoft Corporation com relao s questes discutidas at a data da
publicao. Como a Microsoft deve responder a condies mutveis de mercado, este documento no deve ser interpretado como um compromisso da
parte da Microsoft e a Microsoft no pode garantir a exatido das informaes apresentadas aps a data da publicao.

Este documento tcnico tem propsitos unicamente informativos. A MICROSOFT NO D GARANTIAS EXPRESSAS OU IMPLCITAS NESTE
DOCUMENTO.

Microsoft, BackOffice, a logomarca BackOffice, MS-DOS, Outlook, Windows e Windows NT so marcas registradas ou comerciais da Microsoft
Corporation nos Estados Unidos e/ou em outros pases.

Os nomes de outros produtos ou de empresas mencionados neste documento so marcas comerciais de seus respectivos proprietrios.

Microsoft Corporation One Microsoft Way Redmond, WA 98052-6399 EUA

1098

Reviso tcnica por Francisco Baddini Seminar Group Microsoft Brasil


PREFCIO......................................................................................................................................................................... 3

COMPONENTES DO ACTIVE DIRECTORY............................................................................................................... 4

Domnios....................................................................................................................................................................... 4

Unidades organizacionais........................................................................................................................................ 5

Domnio em oposio UO...................................................................................................................................... 7

Consideraes sobre o design da UO..................................................................................................................... 8

RVORES E FLORESTAS.............................................................................................................................................. 9

rvores.......................................................................................................................................................................... 9

Florestas..................................................................................................................................................................... 11

Reviso....................................................................................................................................................................... 13

ESPAO DE NOME E HIERARQUIA DE UO............................................................................................................ 13

Design do espao de nome de DNS....................................................................................................................... 13

Vantagens e desvantagens dos dois modelos...................................................................................................... 16

Requisitos de DNS.................................................................................................................................................... 17

Recomendaes de DNS.......................................................................................................................................... 17

Zonas e domnios de DNS adicionais................................................................................................................... 18

Reviso....................................................................................................................................................................... 19

INTRODUO AOS DIVERSOS MTODOS DE DESIGN E SUAS IMPLICAES..........................................


19

Domnio raiz.............................................................................................................................................................. 20

Geogrfico................................................................................................................................................................. 20

Poltico....................................................................................................................................................................... 25

Geo-poltico............................................................................................................................................................... 28

Poltico-geogrfico.................................................................................................................................................. 30

Funcional................................................................................................................................................................... 33

A SITUAO SE COMPLICA: CONSIDERAES PARA SITES........................................................................ 34


Local do controlador de domnio......................................................................................................................... 35

Determinando onde colocar os controladores de domnio e catlogos globais......................................... 35

Fronteiras dos sites.................................................................................................................................................. 36

Replicao de site.................................................................................................................................................... 36

Links de site............................................................................................................................................................... 40

Pontes de link de site............................................................................................................................................... 42

Criao da topologia.............................................................................................................................................. 44

Localizando os servios.......................................................................................................................................... 45

Campos de ao do site........................................................................................................................................... 46

Reviso....................................................................................................................................................................... 48

SEGURANA.................................................................................................................................................................. 48

Funes do servidor................................................................................................................................................. 49

Diretivas de segurana do Active Directory....................................................................................................... 51

Direitos e permisses............................................................................................................................................... 51

Herana...................................................................................................................................................................... 52

Controle de acesso................................................................................................................................................... 52

Administrao delegada......................................................................................................................................... 54

Infra-estrutura da chave pblica........................................................................................................................... 56

Propriedades de segurana.................................................................................................................................... 58

Componentes de segurana da chave pblica................................................................................................... 58

Criptografia e chaves pblicas.............................................................................................................................. 59

Certificados............................................................................................................................................................... 60

Servios de certificado............................................................................................................................................ 61

IPSec........................................................................................................................................................................... 63

Kerberos..................................................................................................................................................................... 68

Planejamento de Kerberos...................................................................................................................................... 74
Reviso....................................................................................................................................................................... 75

GRUPOS........................................................................................................................................................................... 75

Estruturas de segurana......................................................................................................................................... 75

Utilizao de grupos................................................................................................................................................ 76

Reviso....................................................................................................................................................................... 81
Prefcio
H diversas formas de se analisar o design e a implantao do Windows 2000 e do Active Directory. Nesta
minuta, vamos tentar instigar a imaginao do engenheiro de sistemas e de outros que precisam analisar o
campo de ao e o planejamento do design e da implantao. Como tal, este documento no vai abordar
situaes que envolvam o uso do Windows 2000 e do Active Directory. Em vez disso, este documento vai
tentar apresentar informaes essenciais a serem usadas ao se considerar o design e implantao do Windows
2000.

O documento est organizado por tpicos, e o fluxo lgico usado ao se elaborar as sees de tpicos :

Active Directory e componentes relacionados: Uma anlise das florestas, domnios e unidades
organizacionais. Analisaremos a finalidade, definio e uso desses elementos.

Design do espao de nome de DNS: Uma anlise do design do espao de nome de DNS nico e de
espaos para nome de DNS separados. As vantagens e desvantagens de cada design e algumas
recomendaes bsicas sobre como cada um deles pode ajudar a organizao.

Design do espao de nome do Active Directory: Uma anlise de cinco modelos diferentes de designs de
espao de nome, as caractersticas de cada um e como cada um se encaixa na estrutura de uma
organizao.

Sites: Uma anlise de como os sites funcionam, sua finalidade e como afetam o design do espao de
nome e a estrutura dos domnios do Windows 2000.

Segurana: Um exame dos fundamentos da segurana e de como ela afeta o design do ambiente do
Windows 2000.

Grupos: Uma anlise sobre a introduo de novos tipos de grupos, o planejamento de como esses
grupos so usados e por que se deve analisar com tanto cuidado o seu uso.

Neste documento: Utilizao de figuras

As figuras usadas freqentemente neste documento representam domnios do Windows 2000 e unidades
organizacionais (UOs). Os smbolos preferidos usados para ilustrar esses componentes so geralmente um
tringulo para um domnio e um crculo para uma UO.
Figura 1

Essas representaes so usadas quando a anlise concentra-se exclusivamente em rvores e florestas.


Infelizmente, no possvel empregar esses smbolos em designs de rvores complexas. Portanto, na maioria
das figuras que representam estruturas de rvores, retngulos arredondados so usados para representar
domnios e tringulos so usados para representar UOs.

Figura 2

O uso destes smbolos deve ser evidente quando exibidos no contexto das anlises.

Componentes do Active Directory


H diversos componentes do Active Directory que devem ser bem compreendidos para que possam ser usados
corretamente. Os domnios e unidades organizacionais so os elementos bsicos do Active Directory e vo
definir tanto a estrutura como a funcionalidade. A maneira em que os domnios so organizados em rvores e
florestas tambm vai determinar o tom das diretivas administrativas e da interoperabilidade entre as diversas
reas de uma organizao.

Esta seo apresenta esses componentes do ponto de vista da sua arquitetura. As suas finalidades e utilizao
sero analisados posteriormente neste documento.

Domnios
Os domnios representam uma partio lgica do Active Directory que serve tanto para a segurana quanto
para a replicao de diretrios. Os domnios esto diretamente relacionados ao espao de nome de DNS e so,
de fato, endereados atravs do DNS.
Todos os objetos da rede existem dentro de um domnio, e cada domnio contm um conjunto completo dos
seus objetos dentro do Naming Context (NC, contexto de denominao) do domnio. Teoricamente, um
diretrio de domnio pode conter at dez milhes de objetos.

Os domnios fornecem um limite para a segurana e um campo de ao para a replicao do NC do domnio.


Nenhuma das diretivas e configuraes de segurana, como direitos administrativos, diretivas de segurana e
Access Control Lists (ACLs, listas de controle de acesso), passa de um domnio para outro. O administrador
do domnio tem direitos absolutos para definir diretivas somente dentro desse domnio.

O uso especfico dos domnios deriva-se da sua funo. Geralmente, os domnios so criados para fornecer
um campo de ao para autoridade administrativa ou para reter as informaes replicadas como parte do NC
do domnio. Para exemplificar essa ltima situao, geralmente os domnios so confinados a limites
geogrficos para garantir a otimizao da rede.

Sempre que possvel, deve-se evitar a criao de domnios para refletir grupos de divises. s vezes, pode ser
necessrio estabelecer domnios por motivos polticos, mas isso far parte de uma estratgia maior.

Exceto durante a migrao e consolidao, nunca se deve criar domnios para servirem como host de recursos.
Estes eram conhecidos como domnios de recursos no Windows NT 4.0 e no so mais necessrios nem
desejveis no ambiente do Windows 2000.

Ter muitos domnios aumenta de forma significativa os custos administrativos indiretos relacionados ao
gerenciamento do Active Directory. Como regra bsica de design, deve-se sempre iniciar com um nmero
mnimo de domnios e s acrescentar outros domnios visando atender a critrios especficos.

Unidades organizacionais
As unidades organizacionais (UOs) do Active Directory so um conceito completamente novo para os
administradores do Windows NT. Apesar disso, as UOs so uma inovao bem-vinda e garantem uma enorme
flexibilidade. Espera-se que as UOs desempenhem um papel importante na consolidao do domnio de
recursos durante as migraes do Windows NT 4.0 para o Windows 2000.

Delegao da administrao

As UOs permitem a delegao granular das tarefas administrativas. Isso possibilita o emprego inteligente do
controle administrativo em diversos nveis, permitindo que os usurios, computadores e outros objetos sejam
reunidos em uma UO e que a administrao dessa UO seja delegada ao administrador adequado.

Campo de ao das diretivas

As Diretivas de grupo podem ser aplicadas em sites, domnios e unidades organizacionais e filtradas com base
na associao ao grupo. Desses, as UOs so provavelmente o recipiente mais funcional que pode aceitar
diretivas.

Embora a partio para objetos das diretivas de grupo seja, na verdade, o domnio, as UOs tambm podem ser
consideradas como parties para diretivas. Dependendo da finalidade da UO criada, o emprego das diretivas
pode refletir regras comerciais, mandatos polticos tcnicos ou automao de tarefas.

Por exemplo, podem ser criadas UOs separadas para funcionrios de horrio integral e funcionrios
contratados. Pode-se criar uma diretiva especfica para cada classe de funcionrios e aplic-la a UOs
individuais.
Consideraes sobre a UO

As estruturas da UO devem ser benficas e significativas. Como a estrutura de diretrios exposta aos
usurios, deve-se evitar UOs arbitrrias. Em outras palavras, no crie uma estrutura s pela estrutura.

Lembre-se tambm de que a estrutura da UO de um domnio independente de qualquer outro domnio.


Portanto, cada domnio pode implementar a sua prpria hierarquia de UO. Isso uma faca de dois gumes. Se
houver vrios domnios ponto a ponto com finalidade semelhante, provvel que esses domnios exijam a
mesma estrutura bsica de UO, como a criada para a empresa Supermercado.

Embora no exista nenhuma restrio inerente profundidade das UOs em um domnio, existem algumas
diretrizes gerais.

Estruturas de UO pouco profundas funcionam melhor do que estruturas profundas.

No devem existir mais de dez nveis de UOs.

O emprego das diretivas ser prejudicado com estruturas de UO profundas.

Ao considerar estruturas de UO, deve-se analisar tambm que o proprietrio de uma UO tem total autoridade
sobre ela e pode restringir o emprego da diretiva a partir de um recipiente pai. Ao estabelecer a estrutura
bsica da UO, deve-se pensar em quem vai administrar a UO e em quem vai poder exibi-la.

Estruturas das UOs

As UOs do Active Directory atendem a duas finalidades bsicas:

1) Como parties para delegao administrativa.

2) Como recipientes para o emprego de diretivas.

A criao de unidades organizacionais por qualquer outro motivo deve ser bem justificado. Isso significa que
as unidades organizacionais no devem ser criadas simplesmente para refletir o aninhamento da estrutura da
empresa. Por qu? Porque as UOs no so passivas por natureza. Elas so analisadas quanto s diretivas e
permisses, sobrecarregando assim o processador. Quanto mais profunda for a estrutura da UO, maior ser a
queda de desempenho. Como o Active Directory no permite originalmente a criao de recipientes,
tentador usar UOs com essa finalidade e, em alguns casos, esse uso pode realmente ser apropriado.

H muitas possibilidades para a criao de UOs que no violam a regra de finalidade:

Para refletir a estrutura organizacional, como um departamento. Na maioria dos casos, os departamentos
so na verdade o nvel bsico da delegao administrativa.

Funo comercial: Conforme descrito no modelo de diretrio Funcional. Freqentemente, a disposio


por funo comercial ser executada pelos grupos e, portanto, voc pode justificar as UOs criadas dessa
forma.

Baseadas em objeto: UOs que representam grupos de objetos semelhantes, como usurios,
computadores, impressoras, roteadores, etc. Novamente, dependendo da sua estrutura de diretrio bsica, isso
pode no ser apropriado, pois o nvel inferior de delegao e atribuio de diretivas pode ser a UO da diviso.
Baseadas em projeto: UOs temporrias para organizar dados relacionados a projetos, pessoal, etc. As
UOs fornecem um excelente mecanismo para reunir objetos para administrao e diretivas. Os projetos
geralmente tm exigncias especiais que precisam ser atendidas atravs de procedimentos administrativos e
diretivas especficas.

Baseadas em necessidade administrativa: s vezes, pode ser necessrio basear as UOs na necessidade
administrativa. Contudo, essas necessidades devem ser bem justificadas, pois as UOs so expostas aos
usurios.

Domnio em oposio UO
A questo de se usar domnios ou unidades organizacionais nem sempre simples. Vamos tentar apresentar
algumas regras e esclarecimentos aqui.

Motivos para se criar domnios:

Segurana: A exigncia de se manter diretivas de segurana separadas ser geralmente um fator decisivo na
criao de domnios. Essa exigncia pode ocorrer quando existirem unidades comerciais autnomas com uma
estrutura de TI distribuda. Com menos freqncia, ambientes de alta segurana vo exigir que os envelopes
de segurana sejam distintos, como no caso de empresas petrolferas e farmacuticas.

Replicao: Outra justificativa comum e geralmente vlida para um ambiente de vrios domnios a
possibilidade de se controlar o campo de ao da replicao com base na regio geogrfica. Embora os sites
forneam um mecanismo para tornar a replicao eficiente, as condies da rede podem evitar a replicao de
dados desnecessrios atravs de links de baixa velocidade da rede.

Migrao: Em uma infra-estrutura madura do Windows NT, ser necessrio estabelecer inicialmente um
mapeamento de um para um entre os domnios do Windows NT e do Windows 2000. Os detalhes da migrao
vo ser analisados em profundidade mais adiante neste documento.

Motivos para no se criar domnios:

Para refletir a estrutura organizacional: Se possvel, evite criar domnios baseados em divises, departamentos
ou grupos. Um bom design deve resistir s reorganizaes da empresa sem precisar da restruturao da
hierarquia dos domnios.

Para refletir a funo comercial (tambm chamada de diretiva): A reorganizao comercial bastante
freqente nas empresas atuais. Os domnios baseados em grupos polticos oferecem pouca vantagem
funcional.

Quando se deve criar unidades organizacionais:

Para controlar a administrao: As UOs agem como parties para delegao administrativa. Um uso
freqente das UOs o de fornecer campo de ao para administrao de recursos.

Para substituir os domnios de recursos do Windows NT 4.0: Na maioria dos casos, os domnios de recursos
do Windows NT 4.0 podem ser substitudos, um por um, pelas UOs. Quando estiver concluda a migrao de
um domnio de recursos para o Windows 2000, fcil transform-lo em uma UO.

Para criar um campo de ao para diretivas administrativas: As parties de diretivas e de delegao


administrativa so geralmente sinnimas, mas devem ser definidas na etapa inicial do processo de
planejamento. O mtodo mais fcil de se empregar diretivas atravs de UOs, mas pode ser confuso criar
uma UO especificamente para uma diretiva. Por exemplo: UO = Usurios de terminais do Windows no
seria uma boa opo para uma UO.
Para refletir a estrutura organizacional: Na medida em que elas oferecem suporte administrao, as UOs
devem fornecer alguns detalhes sobre a estrutura organizacional da empresa.

Quando no se deve criar unidades organizacionais:

Para refletir grupos polticos: Caso seja necessrio refletir grupos polticos, faa-o usando grupos. Uma UO
denominada VPs do nordeste e amigos no um uso adequado.

Para criar uma estrutura arbitrria: As UOs devem ser usadas como grupos e no devem ser criadas como
espaos reservados ou em benefcio da estrutura somente. Por exemplo: Seria questionvel a criao de uma
UO denominada Unidades comerciais contendo UOs filho denominadas para cada unidade comercial,
exceto se tiverem sido aplicadas diretivas e delegao administrativa UO denominada Unidades
comerciais.

Consideraes sobre o design da UO


Ao se projetar hierarquias de diretrio potenciais, deve-se identificar os elementos que so comuns a mais de
uma unidade comercial, diviso ou unidade administrativa e estabelecer algumas convenes para a estrutura
das UOs a fim de garantir alguma consistncia.

Figura 3
bastante adequado fornecer uma estrutura base para as unidades organizacionais ou desativar
completamente a possibilidade de se criar unidades organizacionais.

No exemplo acima, tanto a Fabricao como a Distribuio tm exigncias em comum, uma delas um local
para administrar e gerenciar os seus usurios, computadores e impressoras. Como tal, uma conveno para
UOs comuns foi implementada, fazendo com que trs UOs (Computadores, Usurios, Impressoras) fossem
criadas sob cada UO da diviso bsica. Ao se estabelecer alguma estrutura preliminar, so fornecidas aos
usurios visualizaes consistentes e obtm-se um nvel de consistncia administrativa.

Embora no haja uma limitao inerente ao nmero de UOs aninhadas, estruturas profundas de UOs
prejudicam o desempenho. Se mais de dez nveis de UOs forem exigidos, voc deve considerar a
implementao de outra estrutura.

rvores e florestas
O Active Directory usa rvores e florestas que fornecem formaes e links lgicos que vo definir como e at
que ponto os domnios vo se comunicar. Assim como os domnios e as unidades organizacionais, esses
componentes fornecem uma funcionalidade especfica e so criados para atender a exigncias especficas.

rvores
Uma rvore uma reunio hierrquica de domnios organizados em um espao de nome contguo.

(Uma rvore tambm pode consistir em um nico domnio do Windows 2000. Contudo, voc pode criar um
espao de nome contguo maior, unindo diversos domnios em uma estrutura hierrquica.)

Os domnios em uma rvore so unidos de forma transparente atravs de relaes de confiana transitiva
Kerberos bidirecional. Uma confiana transitiva Kerberos significa simplesmente que, se o Domnio A confia
no Domnio B, e o Domnio B confia no Domnio C, ento o Domnio A confia no Domnio C. Portanto, um
domnio que pertence a uma rvore estabelece imediatamente relaes de confiana com cada domnio da
rvore. Essas relaes de confiana disponibilizam todos os objetos de todos os domnios da rvore a todos os
outros domnios da rvore.

Todos os domnios de uma nica rvore tm um espao de nome comum e uma estrutura de denominao
hierrquica. Segundo os padres de DNS, o nome de um domnio filho o nome relativo desse domnio filho
com o nome do domnio pai anexado.

Todos os domnios de uma nica rvore tm um esquema comum, que contm definies formais de todos os
tipos de objetos que podem ser armazenados em uma implantao do Active Directory. Alm disso, todos os
domnios de uma nica rvore tm um catlogo global comum, que o depsito central das informaes
sobre os objetos de uma rvore ou floresta.
Figura 4

No h um limite especfico para a profundidade de uma rvore, mas, como os domnios, as rvores tm
processamentos relacionados, e estruturas profundas vo prejudicar o desempenho.

Utilizao de rvores

As rvores definem a estrutura mais evidente do Active Directory e dizem respeito utilizao do domnio.
Do ponto de vista do design cronolgico, a estrutura da rvore no deve preceder as definies do domnio.
Os domnios devem ser definidos de acordo com as regras relacionadas utilizao dos domnios. Os
domnios devem ento ser organizados em uma estrutura de rvore de forma lgica. Por exemplo, digamos
que a Supermercado tenha definido os seguintes domnios:

EUA

Canad

Brasil

Frana

Rssia

Moscou

Leningrado

Os domnios foram criados para reduzir o impacto na rede provocado pela replicao de NC do domnio e, no
caso de Moscou e Leningrado, surgiram da ausncia de servios de suporte de rede. Esses domnios podem se
tornar UOs caso sejam criados servios de rede estveis.
A estrutura de rvore resultante geraria a rvore a seguir.

Figura 5

No caso anteriormente ilustrado, os domnios foram organizados em uma rvore onde os domnios de
primeiro nvel baseiam-se no pas e os domnios de segundo nvel baseiam-se na cidade. Contudo, os
domnios em si foram criados independentemente da estrutura de rvore resultante.

Florestas
Uma floresta um agrupamento de uma ou mais rvores que vo participar de um sistema de comunicao
comum.

Figura 6

Uma floresta fornece os limites para muitas das funes do Active Directory, como segurana, convenes,
confianas e catlogo global.

Em uma floresta, h um nico esquema replicado que controlado atravs de um servidor de esquema mestre
no domnio raiz.
As relaes de confianas Kerberos nunca so transitivas entre florestas, o que as torna adequadas a
disposies de parcerias, onde a confiana real tambm est limitada.

Figura 7

A distino entre uma floresta nica e florestas separadas refere-se aos objetos de conexo que replicam os
NCs de configurao e de esquema, e o catlogo global. Na figura anterior, as mesmas rvores existem nos
dois casos, mas implantar dom2.com em uma floresta separada fez com que essa rvore fosse completamente
dissociada de dom1.com. Ainda pode existir uma relao de confiana Kerberos entre as duas florestas, mas
no ser mais possvel se compartilhar o catlogo global e os NCs de configurao e de esquema. O efeito
final de se separar as rvores dessa forma a existncia de dois sistemas de comunicao separados.

Utilizao de florestas

Uma floresta pode surgir da necessidade de se manter esquemas separados, como o caso de uma unidade
comercial que mantm um aplicativo no confivel. Florestas distintas tambm vo surgir para estabelecer
uma separao entre os recursos internos e os externos do DNS.

Funcionalmente, criar uma nica floresta ou organizar as rvores em florestas separadas uma deciso fcil
de ser tomada durante a instalao do Active Directory. No entanto, essa no uma deciso a ser tomada
despreocupadamente, pois o impacto grande e duradouro. As florestas no podem ser mescladas nesse
momento e atualmente no h suporte para a replicao entre florestas.

Os aspectos funcionais desse tipo de estrutura podem no ser o que se esperava originalmente. S se deve usar
mais de uma rvore em uma nica floresta em caso de necessidade. Por exemplo, se Supermercado.com for o
nome do domnio estratgico e Loja.com for uma estrutura antiga para a qual h suporte ou uma unidade
comercial autnoma, ento duas rvores de nvel superior seriam adequadas.

Em outros casos, haver a migrao ou incluso das rvores secundrias de uma floresta em uma rvore
homognea. rvores adicionais no oferecem nenhum benefcio exclusivo em relao estrutura de rvore
nica.

Reviso
Os componentes analisados nesta seo foram domnios, unidades organizacionais (UOs), rvores e florestas.
Os domnios so parties do Active Directory que so usadas principalmente para oferecer um campo de
ao para autoridade administrativa e limitar o campo de ao da replicao. As UOs so parties
administrativas do Active Directory que permitem a delegao granular de tarefas administrativas e so ativas
por natureza. As rvores so grupos de domnios que formam um espao de nome contguo, e as florestas so
um ou mais conjuntos de rvores que tm o mesmo esquema e catlogo global.

importante entender bem os componentes do Active Directory, pois eles so os elementos bsicos do Active
Directory. Entender o significado e os usos desses componentes a chave para se criar uma estrutura de
diretrios bem projetada.

Espao de nome e hierarquia de UO


Esta seo aborda as tcnicas e a metodologia da criao e ordenao de componentes da Directory
Information Tree (DIT, rvore de informaes de diretrio). Diversas decises precisam ser tomadas com
relao estrutura real da rvore do Active Directory. Essas decises vo se basear em uma combinao de
diversos fatores, como a estrutura organizacional, a estrutura administrativa e a diversidade geogrfica. Esta
seo vai proporcionar uma boa compreenso do melhor uso do design de espao de nome.

Design do espao de nome de DNS


Hoje em dia, as redes tm duas funes: atender s necessidades de comunicao interna e atender aos
pedidos provenientes da Internet. O DNS, claro, tem um papel essencial na determinao de como esses
dois ambientes se relacionam. H duas escolhas para a infra-estrutura bsica de DNS que vo afetar o design
do espao de nome.

Uma das primeiras decises a ser feita com relao ao design do espao de nome a determinao do papel
do DNS e de como o DNS ser organizado. Um nico espao de nome de DNS vai atender aos servios
internos e da Internet ou esses espaos para nome devem ser separados?

Modelo 1: Espaos separados para nome de DNS interno e da Internet

O Active Directory introduz a integrao do DNS e do diretrio corporativo. As vantagens desse tipo de
integrao so muitas, mas questes complexas devem ser abordadas no princpio do processo de
planejamento. Entre essas decises, importante decidir se deve-se fazer uma distino entre o espao de
nome de raiz interna e o de raiz externa. Em infra-estruturas maduras de DNS, provavelmente essa escolha
ser determinada pelo ambiente antigo de DNS, mas, se for adequado fazer uma modificao no sistema de
DNS, essa a hora de se faz-lo.
A deciso de se manter espaos separados para nome interno e externo de DNS baseia-se na lgica
convencional, mas as implicaes so ampliadas no ambiente do Windows 2000. O espao de nome usado
internamente afeta diretamente os usurios finais, pois faz parte do nome de logon. Consulte os exemplos
ilustrados na figura a seguir. Ao se usar espaos para nomes separados, Joo Usurio deve aprender a
distino entre o seu nome de logon (jusuario@smercado.org) e o seu endereo de correio eletrnico da
Internet (jusuario@supermercado.com). Usando um nico espao de nome, Joo Usurio s precisa aprender
e usar um nico espao de endereo: @supermercado.com.

Como tanto os nomes de domnio de Internet como os da intranet devem ser registrados com o Internic, as
entradas SOA das duas zonas devem poder ser acessadas a partir da Internet. Como tal, a primeira etapa ser
criar duas zonas primrias no servidor de DNS da Internet: uma para o sistema de domnio da Internet e outra
para a intranet.

a) No servidor de DNS baseado na Internet, uma zona primria criada para Supermercado.com (o
domnio da Internet)

b) No servidor de DNS baseado na Internet, uma zona primria criada para smercado.org
(o domnio da intranet).

As medidas de segurana determinam que os servios internos no podem ser publicados na Internet. Para
atender a essa exigncia, o sistema de DNS da intranet tambm deve ser host da zona de DNS da intranet,
como zona primria. Nesse momento, um sistema de DNS no sabe da existncia do outro sistema de DNS e
eles vo responder aos pedidos do nome de domnio da intranet. So necessrios mais dois pontos adicionais
de configurao para garantir que a zona da intranet receba todos os pedidos adequados e tambm seja
protegida contra exposio na Internet.

1. No sistema de DNS da Internet, atribua o controle da zona da intranet ao servidor de DNS interno,
criando um registro do tipo NS que aponte para o servidor interno.

2. No servidor de DNS da intranet, crie uma zona primria para smercado.org. Esse ser o local que vai
ser, de fato, o host dos registros dos servios internos.

Alm disso, defina o servidor de DNS da Internet como roteador do sistema de DNS da intranet, a fim de que
o servidor de DNS da intranet no tente solucionar as consultas externas diretamente na Internet, mas, em vez
disso, passe os pedidos atravs dos servidores de DNS da Internet.

Um nico espao de nome requer que os servidores proxy, firewalls e clientes sejam configurados para fazer a
distino entre recursos internos e externos. Naturalmente, isso garantido ao se manter uma separao dos
espaos para nome. mais fcil garantir a segurana com espaos para nome separados, pois, como padro,
nenhum nome de recurso interno jamais seria publicado na Internet.

Modelo 2: Espao nico para nome de domnio raiz

A implantao de um nico domnio de DNS vai atender a consultas de nome na Internet e internas. Nesse
caso, uma nica zona vai se expandir pelos sistemas de DNS da Internet e da intranet, gerando um nico
espao de nome para a organizao.

Questes prementes surgem relacionadas ao uso de um nico domnio de DNS, como, por exemplo, como
impedir a publicao de registros internos de DNS na Internet?

Ainda existe a necessidade de se proteger os registros internos e, portanto, deve-se usar um mtodo de
separao de recursos. So usados novamente servidores de DNS separados para atender aos servios internos
e da Internet. Nesse caso, a zona primria do nome de domnio ser criada no servidor de DNS da Internet e
no da intranet. Nesse momento, nenhum dos servidores de DNS tem conhecimento do outro. Isso atende aos
critrios de segurana desejados para se separar os prprios registros.

O servidor de DNS da intranet nunca deve ser exposto aos pedidos da Internet ou recurso, mas ainda deve
poder atender a resolues de nome para as quais no tem autoridade. Para fazer isso, o servidor de DNS da
intranet deve ser configurado para usar o servidor de DNS como roteador.

Nesse caso, os registros sero gerenciados como se as zonas existissem para dois domnios separados. Os
registros da Internet so publicados no sistema da Internet, e os registros internos so publicados no sistema
da intranet. Os dois nunca vo se encontrar. A configurao resultante estabelece, de forma eficiente, duas
zonas separadas. Embora tenham o mesmo nome de domnio, nenhum dos dois servidores sabe da existncia
do outro.

Vantagens e desvantagens dos dois modelos


Modelo 1:

Manter uma separao entre o domnio interno e o domnio da Internet tem algumas vantagens caractersticas.

Existe uma distino clara entre os recursos da Internet e da intranet do ponto de vista do gerenciamento e
do usurio final.

A estrutura mais fcil de ser gerenciada porque o espao de nome distinto pode ser mantido
separadamente.

Tambm mais fcil fazer a configurao do navegador do cliente, pois as listas de exceo no precisam
ser mantidas para se fazer a distino entre os recursos da Internet e da intranet.

A configurao do cliente proxy facilitada pelo mesmo motivo. prefervel evitar o uso de um servidor
proxy para recursos internos. Para realizar essa configurao, uma lista de excees deve ser fornecida para
permitir que o cliente faa a distino entre os dois ambientes.

A desvantagem dessa configurao :

O nome de logon do usurio diferente do nome de correio eletrnico. Se os usurios trabalham com um
espao de nome homogneo, passar a usar espaos para nomes separados pode ser uma experincia
traumatizante. Lembre-se de que, embora nenhum contexto complexo esteja associado aos usurios, eles
ainda assim esto expostos ao contexto de DNS (jusuario@somdom.com) que ser diferente do endereo de
correio eletrnico da Internet.

Modelo 2:

O principal ponto dessa disposio que os usurios tm uma viso da Internet e da intranet. de
responsabilidade do administrador fazer uma distino back-end entre as duas redes.

A administrao e o gerenciamento so um pouco mais complicados nesse caso, pois, embora os sistemas
sejam tecnicamente distintos, deve-se especificar que recursos existem em que zona primria. Isso pode levar
a questes de segurana devido postagem de recursos internos inadvertidamente no sistema de DNS da
Internet.

Requisitos de DNS
O Microsoft DNS no absolutamente necessrio para o Active Directory, mas para usar um sistema de DNS
de outro fabricante, ele deve oferecer suporte a determinados requisitos.

O Service Location Resource Record (SRV RR, registro de recursos de local de servio), RFC 2052

O protocolo Dynamic Update, RFC 2136

Se no houver infra-estrutura de DNS, a escolha lgica implementar o Microsoft DNS. Contudo, esse caso
raro, momento em que deve-se fazer a determinao da adequao do sistema antigo de DNS.

Alm dos requisitos funcionais bsicos de atender ao suporte de atualizao dinmica e de SRV, uma outra
considerao deve ser feita: A zona antiga se enquadra na zona de DNS que se deseja usar no Windows 2000?

Recomendaes de DNS
Alm disso, lembre-se de que, mesmo que o sistema antigo atenda aos requisitos, voc ainda precisa
considerar que atualizaes dinmicas vo ser replicadas entre as suas zonas. Essa no uma considerao de
pouca importncia. O DNS dinmico pode gerar milhares de entradas existentes em um banco de dados de
DNS. At mesmo as transferncias de zona incrementais, o banco de dados de arquivo texto sem formatao
mantido por software de DNS convencional est sujeito a danos e assume uma grande parte da carga de
replicao.

Contudo, o Microsoft DNS permite a integrao do banco de dados diretamente com o Active Directory que
resulta em um mecanismo de replicao mais eficiente para registros de DNS.

Se o sistema de DNS antigo no atender aos requisitos necessrios para o Active Directory, existem trs
escolhas:

1. Atualizar o(s) servidor(es) existente(s) para atender aos requisitos.

2. Fazer a migrao do(s) servidor(es) para o Microsoft DNS.

3. Selecionar um novo nome (nomes de domnio separados) e atribuir a zona interna ao Microsoft DNS.

Considerando-se tudo isso, a implantao do Active Directory uma boa oportunidade de se fazer a migrao
para o Microsoft DNS, se possvel. O Microsoft DNS est bastante maduro nesse momento e oferece um
excelente suporte a padres e desempenho.

Zonas e domnios de DNS adicionais


At agora, abordamos somente a raiz dos domnios de DNS e do Active Directory. A maioria das situaes vai
exigir a existncia de vrios outros domnios e zonas para atender a subdomnios e zonas secundrias.

Subdomnios
Alm do(s) domnio(s) de DNS raiz, cada domnio filho do Windows 2000 vai, na maioria das situaes, ser
classificado como um subdomnio e ter um espao de nome de DNS associado. H diversas opes
disponveis para a criao de servios de DNS para domnios filho.

O procedimento recomendado para a criao de servios de DNS para um domnio filho primeiro criar o
subdomnio na raiz interna e atribuir esse subdomnio a um servidor de DNS ativo dentro do domnio filho:

Criar um subdomnio de DNS para o filho a partir do domnio raiz (p. ex.: Filho.raiz.com).

Criar uma zona de DNS primrio para o filho dentro do seu prprio domnio (p. ex.: Filho.raiz.com).

A partir da raiz, atribuir o subdomnio ao servidor de DNS filho.

H outras opes disponveis que podem ser usadas em situaes que no so to favorveis. No
necessrio, por exemplo, criar o DNS em um domnio filho. O domnio filho pode ser criado como um
subdomnio no pai ou a raiz para atender ao filho. Nesse caso, os servios de DNS podem ser criados em
filho.raiz.com que seria ento o host de zonas secundrias para o pai ou a raiz.

Zonas secundrias

Provavelmente, vo existir zonas de DNS secundrias na maioria dos casos. Uma zona secundria uma
cpia de leitura somente da zona primria usada para distribuir servios de DNS para solucionar dvidas.
Contudo, no Windows 2000, uma zona secundria tambm pode ser de gravao se o DNS estiver integrado
ao Active Directory. As zonas secundrias que podem ser gravadas fornecem um elemento chave em um
ambiente de DNS do Windows 2000 com atualizao dinmica.

Como padro, todos os clientes de DHCP do Windows 2000 vo solicitar que o DHCP atualize
automaticamente o DNS. Caso haja zonas secundrias que no estejam integradas ao Active Directory, as
modificaes de atualizao s podem ser gravadas no servidor de DNS que age como o SOA da zona
(primria). O impacto disso pode ser significativo. Dado um grande nmero de clientes ou um ambiente
distribudo, os registros de DNS na zona primria e o trfego de rede associado podem ter um impacto
profundo tanto no desempenho do servidor como no da rede. Por esse motivo, recomenda-se que todos os
controladores de domnio que contm DNS estejam integrados ao Active Directory.

Reviso
Projetar o espao de nome de DNS uma parte integrante do design da estrutura do Active Directory da sua
empresa. Nesta seo, analisamos as vantagens e desvantagens de se ter espaos para nome separados em
oposio a um nico espao de nome. Em resumo, os espaos para nome separados so mais flexveis, mas
requerem um ajuste significativo pelos usurios finais. O design do espao de nome nico mais intuitivo
para os usurios, mas tambm mais difcil de ser administrado. Esta seo tambm abordou os requisitos e
recomendaes de DNS. Lembre-se de que o seu sistema de DNS deve oferecer suporte a registros SRV RR e
atualizaes dinmicas. O Microsoft DNS o sistema escolhido, pois ele atende a esses requisitos e tambm
permite a integrao do banco de dados diretamente com o Active Directory, gerando um mecanismo de
replicao mais eficiente para os registros de DNS.

Introduo aos diversos mtodos de design e suas


implicaes
O rpido crescimento da tecnologia durante a ltima dcada provocou o deslocamento em massa dos sistemas
baseados em host para sistemas distribudos. Essa mudana tambm gerou um grande aumento dos custos de
TI associados implantao e gerenciamento desses sistemas. Infelizmente, os oramentos de TI tambm tm
sido sobrecarregados com reimplantaes de infra-estrutura distribuda aps um ciclo de vida relativamente
curto. Um bom design de sistema distribudo deve durar muitos anos e deve passar por inovaes tecnolgicas
como resultado de atualizaes ao software de suporte.

mais fcil falar do que fazer. Um projeto mal feito pode trazer graves conseqncias posteriormente geradas
por reorganizaes corporativas ou estruturas que no pode ser dimensionadas ou que so difceis demais de
serem gerenciadas.

O Active Directory no exige necessariamente um planejamento antes da implantao, mas retornos valiosos
vo ocorrer como resultado de uma estrutura amplivel para redes distribudas. A primeira etapa do
planejamento a definio do mtodo bsico que pode ser usado para definir o design do espao de nome.

Existem trs tipos bsicos de designs de espao de nome: Geogrfico, Poltico e Funcional. Alm desses
princpios bsicos, combinaes simples podem ser includas para gerar atributos exclusivos ao design do
espao de nome. Quase todas as organizaes vo se enquadrar em um desses princpios de design.

Domnio raiz
Independentemente da base da estrutura de diretrio, o componente mais importante o domnio raiz. Embora
seja difcil alterar qualquer nvel da estrutura do domnio, modificar o espao de nome raiz bastante
desagradvel. Esse tpico foi parcialmente abordado na seo sobre DNS que forneceu os mtodos e motivos
para a criao de um domnio de nvel superior.

Alm dessas consideraes, existem atributos especficos do domnio raiz. O domnio raiz (nvel superior) o
primeiro domnio a ser instalado na floresta. Esse domnio no pode ser renomeado nem removido. O
domnio raiz tambm vai fornecer duas funes Flexible Single Master Operations (FSMO, operaes de
mestre nico flexvel) principais a toda a floresta.

A importncia do domnio raiz sugere que, pelo menos, a sua natureza deve ser permanente. Tendo isso em
mente, o nome do domnio raiz deve ter um significado para o nvel superior da organizao, como, por
exemplo, o nome da empresa. Esse diretrio est correlacionado ao nome de DNS raiz que ser usado para os
servios internos.

Em geral, o domnio raiz estar ativo, o que significa que ser usado como qualquer outro domnio e que ser
host de UOs, usurios, recursos e outros objetos. Ou ento, o domnio raiz pode ser esttico por natureza e
existir simplesmente como um espao reservado na floresta para outros domnios filho. Convm usar
domnios de espao reservado quando a organizao j tiver implantado um espao de nome filho a ser usado
nas comunicaes internas. Por exemplo, se a empresa Supermercado estivesse usando
dentro.Supermercado.com como zona de intranet antes da implantao do Windows 2000, seria adequado
criar um domnio raiz para Supermercado.com como espao reservado.

Outra situao onde convm usar um domnio raiz como espao reservado quando uma empresa deseja
manter uma nica floresta, mas, por questes de segurana, os usurios e os recursos das divises no podem
ser misturados no mesmo domnio. Normalmente, essa situao levaria a uma floresta com duas rvores.
Contudo, um domnio raiz de espao reservado pode ser usado como uma pai estril das duas rvores de
diviso.

Geogrfico
Uma estrutura que definida por locais fsicos conhecida como grupo Geogrfico. Esse um fundamento
conhecido do design do espao de nome por ser imune a restruturaes organizacionais.
Usar a geografia como base para se estruturar o diretrio funciona muito bem logo abaixo do nvel da raiz do
diretrio, onde as modificaes feitas na estrutura do diretrio exercem o maior impacto operacional.

O diagrama a seguir representa a estrutura de diretrio baseada na geografia de uma empresa denominada
Supermercado.

Figura 10: Geogrfico

A figura 10 ilustra uma hierarquia geogrfica tpica implementada na Supermercado. Os domnios de primeiro
nvel baseiam-se em divises continentais, e a estrutura secundria baseia-se no nvel do pas. Um aspecto
caracterstico dessa estrutura a sua capacidade de se adaptar a reorganizaes corporativas. Exceto em caso
de guerra civil ou deslocamentos de placas tectnicas, as fronteiras no esto sujeitas alterao, o que
garante uma estabilidade inerente a esse design.

Para se implantar com xito um modelo geogrfico, imprescindvel a existncia de um TI centralizado.


Salvo se a prpria estrutura organizacional se basear em um grupo Geogrfico (o que tornaria o modelo
poltico), uma nica entidade deve ter autoridade sobre todos os recursos das divises. Na maioria das grandes
organizaes, isso raro.

Esse modelo oferece suporte a:

Organizaes extremamente distribudas.

TI centralizado.

As opes de definio dos grupos geogrficos reais para a estrutura de diretrio variam, mas so, em grande
maioria, motivadas pela necessidade de se dividir a replicao com base nas condies da rede. No exemplo
anterior, o uso de dois domnios de primeiro nvel oferece um bom mapeamento dos componentes primrios
da rede que tambm so obviamente baseados na geografia. Usar domnios dessa forma preserva uma parcela
da largura de banda, que provavelmente um link transatlntico de alto custo. Nas grandes organizaes, isso
pode representar uma quantidade significativa de trfego de rede.

Embora esse assunto possa ser uma questo semntica, no se deve criar domnios nesse modelo para criar
parties de segurana. As parties de segurana sempre se baseiam em exigncias polticas e no
geogrficas. O fato de que as leis internacionais possam exigir domnios distintos entre fronteiras
internacionais , na verdade, uma considerao poltica e no geogrfica.

Como ser descrito na seo de variantes, os domnios podem ser mais ou menos profundos, dependendo do
tamanho da empresa e das condies da rede.

PRS

A estrutura de rvore imune reorganizao corporativa.

A rvore aceita expanses. Outras divises ou grupos geogrficos podem ser facilmente acrescentados.

Essa estrutura est bastante adequada distribuio de operaes de suporte e TI. Os limites de segurana
permitem unir o campo de ao dessas operaes.

Essa estrutura se adapta muito bem s caractersticas positivas e negativas da rede.


CONTRAS

A estrutura organizacional no levada em considerao, o que em geral prejudica o uso da navegao


intuitiva.

Os limites de divises podem ser transpostos, o que dificulta a desconexo, implantao e gerenciamento.

Essa estrutura no permite a mudana para um TI descentralizado baseado em departamentos. As


entidades que no fazem parte das divises devem ser gerenciadas de forma centralizada ou participativa.

VARIANTES

H vrias variantes diferentes do modelo geogrfico bsico. Elas podem se basear em unidades geogrficas ou
no nmero de nveis do domnio.

claro que o nvel da estrutura do domnio pode ser aumentado ou diminudo. Ao se lidar com uma
distribuio geogrfica menor, os domnios de primeiro nvel podem ser eliminados e substitudos por
unidades organizacionais (UOs). Por exemplo, se as operaes da Supermercado se baseassem somente no
Brasil, com locais que fossem bem conectados, acabaramos tendo uma estrutura de diretrio parecida com a
que se segue.

Figura 11: Geogrfico

Na figura 11, eliminamos por completo o domnio de primeiro nvel, porque as duas reas principais (Sudeste
e Nordeste), para as nossas finalidades, tm boa conectividade atravs de WAN. Caso a largura de banda fosse
um problema, essas reas teriam sido criadas como domnios, o que iria:
1. Isolar a rplica completa do Naming Context (NC) do domnio.

2. Ativar a replicao entre os domnios para usar a compactao, reduzindo ainda mais o uso da rede.

As UOs foram criadas para representar reas geogrficas significativas. Em uma organizao de pequeno
porte, tambm eliminaramos as UOs baseadas em reas e especificaramos simplesmente as cidades. Mesmo
no exemplo anterior, a estrutura de unidade organizacional baseada em pas na verdade no oferece nenhuma
vantagem a no ser a da prpria estrutura.

Nas organizaes globais, pode ser necessrio criar mais domnios ou nveis mais profundos de domnios.
Nesse caso, vamos supor que a Supermercado tenha muitos escritrios em diversos pases europeus. As
conexes por rede entre esses pases baseiam-se em ISDN de discagem por demanda. Todas as conexes de
rede da Rssia baseiam-se em ISDN. Somos ento forados a usar a estrutura que se segue.

Figura 12: Geogrfico com vrios domnios


O exemplo da figura 12 mostra os seguintes preceitos:

1. Os pases individuais da Europa ocidental tm redes slidas dentro das fronteiras de seus pases,
permitindo a comunicao e replicao de diversos mestres, sem que hajam custos adicionais de linha.

2. A comunicao e replicao entre os pases limitada e controlada, reduzindo os custos de comunicao


relacionados aos links ISDN de discagem por demanda.

3. O transporte entre os escritrios da Supermercado na Rssia no confivel, o que exige a criao de


outro nvel de domnio baseado nas cidades. Quando as condies da rede melhorarem, esses domnios podem
ser transformados em UOs. No momento, a existncia de domnios separados permite que a replicao entre
os domnios acontea atravs de transporte SMTP baseado em mensagens.

O uso de domnios para dividir a replicao s deve ser usado junto com os recursos fornecidos pelos sites.
Resumindo, os sites permitem o amplo controle da forma em que a replicao ocorre, enquanto os domnios
determinam o campo de ao real da replicao. Esse tpico ser abordado nas sees que se seguem.

Concluso

Basear a estrutura do Active Directory em grupos geogrficos fornece o tipo mais estvel de design, pois as
reorganizaes corporativas no afetam a estrutura do domnio.

A criao de domnios deve se basear na necessidade de se minimizar o trfego de replicao atravs do


campo de ao e da replicao compactada, bem como a capacidade de se fazer a replicao atravs de SMTP.

Poltico
At recentemente, era bastante comum se basear uma estrutura de TI em fronteiras polticas. A estrutura
poltica/organizacional se adapta bem ao prprio modelo comercial, fcil de se projetar e evita questes
relacionadas transposio de grupos de divises. O motivo que levou ao desuso desse modelo a tendncia
relativamente nova de se fazer freqentes reorganizaes corporativas. A restruturao dos domnios de
primeiro nvel em um diretrio um processo bastante difcil e longo.

bastante simples se organizar os domnios e UOs segundo o modelo poltico, onde os domnios representam
divises administrativas e as UOs representam estruturas e recursos departamentais.

Basear o domnio de primeiro nvel em consideraes polticas, como a estrutura organizacional, gera uma
estrutura de diretrio que reflete melhor o modelo comercial. Uma base poltica funciona bem em um
ambiente de TI distribudo, onde as funes de TI esto intimamente relacionadas aos grupos de divises.

Nesse modelo, h suporte para os seguintes atributos:

TI centralizado, descentralizado ou distribudo

Rede de boa conexo

Grupos de divises fortes

Nesse modelo, os domnios atendem a duas exigncias:


So necessrias diretivas de segurana separadas para as divises.

necessria uma separao administrativa distinta devido ao TI poltico ou descentralizado.

Os domnios desse modelo nunca so estabelecidos visando criao de um campo de ao para a replicao
porque a geografia no a base da estrutura.

PRS

O espao de nome interno est alinhado com a estrutura organizacional da empresa, o que reduz as
exigncias e confuso no treinamento do usurio final.

O design do espao de nome interno de DNS mais fcil de se planejar e implementar.

Os grupos de divises so evitados, e as fronteiras no so transpostas. Isso aumenta a probabilidade de


xito na conexo e implantao.

A rvore permite expanso em diviso ou geografia.

CONTRAS

A estrutura do domnio no usa de forma eficiente a rede na criao de um campo de ao para a


replicao. Os dois domnios vo provavelmente existir nos mesmos locais.

A reorganizao das unidades comerciais levaria a uma iniciativa predominante de TI.

VARIANTES

Assim como o modelo geogrfico, as variantes desse design dizem respeito principalmente ao nmero e
disposio dos domnios. Diferentemente do modelo geogrfico, a criao de domnios ser determinada pelas
exigncias de segurana e administrao e no pela necessidade de se controlar a replicao ou melhorar o
desempenho da rede.

Em um ambiente de TI centralizado, a variante bvia remover todos os domnios de primeiro nvel, exceto
um, substituindo-os por UOs.

Figura 14: Estrutura de diretrio poltica

possvel substituir os domnios de primeiro nvel por UOs porque h um departamento de TI controlador
que pode manter a raiz e a delegar a administrao conforme necessrio aos departamentos de TI da unidade
comercial. Tambm possvel implementar essa variante em um ambiente de TI distribudo desde que os
departamentos de TI no sejam autnomos.

Essa opo remove a desvantagem relacionada rede e replicao duplicada e fornece um modelo
administrativo eficiente.
Uma vantagem real de se eliminar os domnios de segundo nvel a manuteno de um nico espao de nome
para a organizao. Se a simplicidade de implantao e de administrao for um objetivo, deve-se criar um
domnio nico e fazer com que ele reflita a empresa.

A justificativa de se criar uma estrutura de domnio profunda nesse modelo rara, mas pode existir em
sociedades de controle e outras organizaes distribudas onde existem empresas operacionais autnomas
dentro das unidades comerciais. Contudo, os custos administrativos indiretos desse tipo de modelo so altos e
devem ser evitados, se possvel.

Geo-poltico
O modelo de diretrio geo-poltico talvez o mais funcional. Como o prprio nome sugere, o modelo geo-
poltico mistura aspectos dos modelos geogrfico e poltico nos diversos nveis do diretrio. Os nveis
especficos em que cada um vai ser aplicado variam, mas pelo menos o primeiro nvel sempre se baseia na
geografia e os nveis subseqentes se baseiam em fatores polticos.

A estrutura geo-poltica oferece os melhores atributos dos dois modelos analisados anteriormente. A
capacidade de adaptao obtida nos nveis mais altos do diretrio ao se basear a estrutura na geografia,
enquanto a estrutura organizacional refletida nos nveis inferiores, garantindo a facilidade de uso e de
delegao da administrao.

A justificativa desse tipo de estrutura relativamente simples. O maior impacto potencial para uma
organizao est no domnio de primeiro nvel. Por exemplo, considerando a estrutura descrita na base
poltica, uma mistura forada entre os domnios de primeiro nvel (fabricao e distribuio) afetaria todos os
aspectos da infra-estrutura, pois todos os objetos esto contidos nesse dois domnios ou atendem a eles.
Contudo, na situao descrita na estrutura geo-poltica, s os domnios de segundo nvel ou UOs podem ser
afetados por uma reorganizao. Nesse momento, ento, o impacto limita-se somente aos domnios
diretamente modificados e a seus filhos.

O objetivo dessa regra no eliminar, mas sim minimizar o risco da exposio a reorganizaes. Existe uma
compensao evidente entre a estabilidade da rvore e a considerao de realidades polticas para obter
vantagens.

Nesse modelo, h suporte para os seguintes atributos:

TI centralizado ou distribudo

Organizao extremamente distribuda

Grupos de divises fortes

O modelo do domnio pode se basear nos dois modelos (Geogrfico ou Poltico). Como sempre, melhor
reduzir ao mnimo o nmero de domnios.

Use domnios para distinguir reas geogrficas quando h necessidade de se minimizar o trfego de replicao
atravs de links de WAN ou se for exigida uma separao de segurana entre os pases, etc.

Use domnios abaixo do nvel geogrfico para representar a estrutura organizacional somente se a empresa for
organizada de forma que os diversos grupos de divises se baseiem em regies geogrficas especficas e se
esses domnios precisarem de separao protegida e distinta entre si.
PRS

A estrutura de rvore de diretrio minimiza o impacto das reorganizaes.

A rvore permite expanso. Outras divises ou grupos geogrficos ou polticos podem ser facilmente
acrescentados.

Essa estrutura se adequa bem distribuio das operaes de suporte e de TI. Os limites de segurana
permitem unir o campo de ao dessas operaes.

Provavelmente, essa estrutura se adapta muito bem s caractersticas positivas e negativas da rede.

CONTRAS

No oferece suporte fcil mudana para um TI descentralizado devido necessidade de gerenciar


entidades geogrficas separadas.

A administrao departamental pode estar espalhada em diversos domnios, aumentando os custos


administrativos indiretos. Observe que, se a administrao se basear em fatores polticos, as mesmas entidades
administrativas podem se expandir pelos dois domnios.

Isso pode exigir um pouco de administrao participativa dentro dos domnios geogrficos.

VARIANTES

Na verdade, no h variantes desse modelo alm da profundidade dos domnios em relao s UOs. Mesmo
nesse caso, substituir domnios de primeiro nvel por UOs geraria OUs geogrficas que, na maioria dos casos,
no trariam nenhuma vantagem, gerando uma estrutura puramente poltica.

Poltico-geogrfico
Tambm possvel aplicar a estrutura geogrfica abaixo da estrutura organizacional em um diretrio. O
modelo poltico-geogrfico lida primeiro com a estrutura organizacional e depois aplica a estrutura baseada
em consideraes geogrficas.

Existem algumas justificativas para se aplicar essa estrutura especfica ao diretrio. Grandes empresas
multinacionais vo freqentemente escolher esse modelo porque a capacidade de fornecer uma separao
entre as unidades comerciais primrias e dentro dessas unidades comerciais responsvel pela distribuio
geogrfica. Geralmente, as grandes empresas mantm unidades comerciais que so por si s grandes
empresas. Essas subempresas, por sua vez, so multinacionais e provavelmente vo exigir domnios para criar
o campo de ao do NC do domnio.

Figura 16: Poltico-geogrfico

Caso seja necessrio delegar administrao ou aplicar diretivas com base em unidades suborganizacionais
(UOs geogrficas), essa estrutura seria apropriada. Contudo, se esse no for o caso, o nvel que representa as
unidades geogrficas seria arbitrrio e, portanto, desperdiado. As separaes geogrficas dentro desse
modelo baseiam-se exatamente nisso. Se essas separaes fossem parte da estrutura organizacional da
empresa, seriam na verdade baseadas em consideraes polticas e no geogrficas.
Nesse modelo, h suporte para os seguintes atributos:

Oferece suporte a todos os ambientes de TI

Unidades comerciais distribudas fisicamente

Grupos polticos fortes

Tpicos da rede que representam, os domnios podem ser justificados por facilitar as exigncias de segurana
(entre divises) ou limitar a replicao para acomodar as limitaes da rede fsica. Em geral, o uso desse
modelo especfico vai misturar os dois, gerando domnios de vrios nveis. Um nico domnio raiz tambm
pode ser usado, garantido por UOs polticas e geogrficas.

PRS

Oferece suporte organizao comercial no primeiro nvel.

Oferece suporte distribuio de TI em todos os nveis.

Fornece excelente segurana entre unidades comerciais enquanto permite a delegao administrativa ou
campo de ao de replicao com base no local fsico.

CONTRAS

A estrutura do domnio no usa de forma eficiente a rede para replicao. provvel que existam vrios
domnios nos mesmos locais, o que gera uma sobreposio das informaes replicadas.

Uma reorganizao das unidades comerciais geraria uma iniciativa predominante de TI.

VARIANTES

Uma grande variante desse modelo que merece nota o uso de domnios de vrios nveis. Geralmente, as
grandes empresas so foradas a usar esse tipo de disposio devido a grupos polticos fortes aliados a um
ambiente internacional distribudo.

Figura 17: Poltico-geogrfico

No exemplo anterior, diversas precondies so atendidas para a Supermercado o conglomerado


internacional. Primeiro, a Supermercado tem unidades comerciais autnomas, que requerem separao de
segurana distinta entre si. Segundo, a Supermercado pode exigir segurana distinta entre pases ou replicao
otimizada fornecida por domnios separados.

Funcional
O modelo funcional considera, independentemente de todas as outras consideraes, que o objetivo mais
importante das comunicaes internas facilitar a participao. Um modelo funcional considera somente as
funes comerciais de uma organizao, sem levar em conta as consideraes polticas ou geogrficas.
Esse modelo pode funcionar bem em pequenas organizaes, com um TI centralizado. S necessrio um
nvel de domnio nesse modelo porque a segurana entre as unidades no uma considerao. O tema do
modelo funcional o de comunicaes participativas considerando somente os objetivos comerciais. Isso
requer uma regra rgida no nvel executivo snior, pois no h suporte para grupos de divises.

Figura 18: Funcional

O modelo funcional est completamente imune reorganizao corporativa, pois desconsidera por completo
todos os atributos exceto as operaes comerciais funcionais. Portanto, algo menos que um realinhamento
completo do negcio essencial pode ser absorvido pela estrutura. Uma empresa de consultoria relativamente
pequena seria uma boa candidata a esse tipo de modelo.

No pode haver mais de um nvel de domnio dentro do modelo funcional, pois no h base para essa criao.
Isso limita o campo de ao desse modelo a pequenas organizaes ou empresas com distribuio geogrfica
limitada.

PRS

Fornece uma plataforma para comunicao participativa devido ao agrupamento de funes semelhantes
em UOs.

intuitivo para os usurios.

CONTRAS

Podem ser necessrias UOs de segundo ou terceiro nvel para o gerenciamento de recursos da rede.

Reviso

Esta seo apresentou diversos designs diferentes de espao de nome baseados em modelos diferentes.

Poltico

Geogrfico

Geo-poltico

Poltico-geogrfico

Funcional

Embora cada design tenha as suas prprias caractersticas positivas e negativas inerentes, deve-se ter em
mente que o design do espao de nome do Active Directory pode se basear na estrutura organizacional e em
regras comerciais e, como tal, pode ser adaptado a vrios modelos diferentes.

A situao se complica: consideraes para sites


Um site uma ou mais sub-redes IP bem conectadas. Como regra bsica, um site pode ser considerado como
reas conectadas usando-se tecnologias de LAN. Os sites s consistem em objetos de servidor e de
configurao que so usados para replicao.

Infelizmente, no h uma regra geral para determinar o campo de ao correto dos sites, mas, atravs da
compreenso de como o Active Directory usa as informaes dos sites, possvel se tomar uma deciso bem
fundamentada sobre como implement-los da melhor forma. O Active Directory usa sites das quatro formas
que se seguem:

Quando um cliente solicita uma conexo com um controlador de domnio (p. ex.: para logon), o site
permite que o cliente se conecte a um controlador de domnio dentro do mesmo site, sempre que
possvel. Isso reduz a latncia e preserva a largura de banda da rede.

Os sites definem a topologia da replicao para os controladores de domnio que fazem parte desses
sites. O Knowledge Consistency Checker (KCC, verificador de consistncia do conhecimento) tambm
usa as informaes contidas nesse site para adicionar automaticamente outros servidores topologia
da replicao.

As mensagens de replicao entre controladores de domnio em um site so compactadas e, portanto,


usam menos ciclos de CPU nos controladores de domnio. As mensagens de replicao entre
controladores de domnio de sites diferentes so compactadas e, portanto, usam menos largura de
banda da rede.

A replicao entre controladores de domnio de um site acionada pela chegada de atualizaes,


reduzindo a latncia da replicao dentro de um site. A replicao entre controladores de domnio de
sites diferentes executada com base em um cronograma, preservando a largura de banda. A
compactao nesses casos pode chegar a 10 para 1.

Os sites no so vinculados de forma alguma ao espao de nome do Active Directory. O nome de um objeto
de diretrio no reflete o site ou sites onde o objeto est armazenado. Um site pode conter controladores de
domnio de diversos domnios, e podem existir controladores de domnio de um domnio em diversos sites.
(Os sites do Exchange Directory Service so vinculados ao espao de nome.)

Local do controlador de domnio


Quando um usurio efetua logon, a estao de trabalho vai tentar localizar um controlador de domnio no seu
site local. Quando no h controladores de domnio disponveis no site, a estao de trabalho vai usar outro
controlador de domnio da rede.

A proximidade dos controladores de domnio aos clientes da rede ter um impacto evidente durante a
autenticao.

Determinando onde colocar os controladores de domnio e catlogos globais


Ao se planejar a colocao de controladores de domnios, leve em considerao ter pelo menos um
controlador de domnio por site. A teoria por trs dessa abordagem baseia-se em um modelo de 99% de
consulta e 1% de atualizao. Isso significa que 99% do trfego da rede do Active Directory estar
relacionado a consultas medida que usurios, administradores e aplicativos solicitam informaes sobre
outros objetos na rede e se autenticam. Atualizaes ao diretrio, que geram o trfego de replicao de
diretrio, vo ocorrer com bem menos freqncia.
Ao se colocar um controlador de domnio em cada site, todos os usurios tero um computador local que pode
atender a pedidos de consulta sem exigir um trfego de link de baixa velocidade. Voc pode configurar
controladores de domnio em sites menores para receber atualizaes de diretrio somente em horrios fora
do expediente a fim de otimizar o fluxo do trfego.

Vamos analisar as seguintes diretrizes para a colocao de controladores de domnio na sua empresa:

Um controlador de domnio deve poder responder aos pedidos dos clientes de forma oportuna.

O melhor desempenho de consulta acontece quando voc coloca um controlador de domnio (em um site
pequeno) com um servidor de catlogo global, permitindo que esse servidor atenda a consultas sobre objetos
em todos os domnios da sua rede.

Os servidores de catlogo global so controladores de domnio que tambm armazenam informaes usadas
freqentemente de outros domnios. Essa funo pode parecer trivial, mas todos os usurios que efetuam
logon so processados por um servidor de catlogo global para associao no grupo universal. As seguintes
diretrizes devem ser analisadas para a colocao de servidores de catlogo global na sua empresa:

Um servidor de catlogo global deve poder armazenar todos os objetos de todos os outros domnios da
floresta.

Um servidor de catlogo global deve poder responder s consultas dos clientes e aos pedidos de
autenticao de forma oportuna.

A disponibilidade a chave da colocao tanto dos controladores de domnio quando dos servidores de
catlogo global. Enquanto um servidor de catlogo global pode estar localizado em um nvel superior da
empresa, atendendo a diversos sites, pelo menos um controlador de domnio deve ser colocado em cada local
de site. O nmero de servidores de catlogo global tambm vai afetar a quantidade de informaes replicadas
em todo o diretrio.

Fronteiras dos sites


Dois conceitos importantes relacionados a sites so:

Um site pode se expandir por mais de um domnio. Como um site simplesmente um grupo de objetos
que existem em locais fsicos, a distribuio lgica dos objetos pode incluir os domnios inteiros ou parciais
existentes na definio do site.

Diversos sites tambm podem se expandir por domnios e at mesmo unidades organizacionais. Isso
especialmente interessante ao se considerar como as diretivas de grupo vo afetar os objetos dentro de um
determinado domnio. A boa notcia que um site no pode se expandir alm do prprio computador.
Figura 19

Na figura anterior, o Site A definido de forma a conter somente quase metade dos componentes do domnio
dom.com. Contudo, o Site B contm todos os componentes de sub.dom.com, alm de alguns objetos do
domnio dom.com. Uma observao interessante que alguns objetos da UO tambm so divididos entre os
sites.

Replicao de site
Para entender bem a replicao dentro de um site, deve-se tambm entender as partes do diretrio que so
replicadas. Trs itens so replicados em um site:

Naming Context (NC, contexto de denominao) do domnio

NC de configurao

NC de esquema

Os contextos de denominao de configurao e de esquema tm a mesma topologia de replicao em um


site, enquanto o contexto de denominao de domnio tem uma topologia separada para cada domnio em um
site.

Isso pode parecer confuso, mas na verdade bastante simples. Cada servidor que se junta a um site se insere
automaticamente nas topologias de replicao de configurao/esquema e de domnio. Ao lidar com
servidores do mesmo domnio, as topologias de replicao so idnticas.
Figura 20: Replicao de site domnio nico

medida que cada controlador de domnio adicionado ao site, a topologia vai se alterar para acomodar o
novo membro do site.

Os controladores de domnio separados tambm vo se inserir nas topologias de replicao, s que de duas
formas separadas. A insero na topologia de configurao/esquema vai ocorrer de forma normal. O servidor
tambm vai se inserir na topologia de contexto de denominao do domnio do site.

A figura que se segue ilustra um site com dois domnios: A e B. Observe que, medida que os controladores
de domnio so acrescentados topologia do site, duas topologias distintas so formadas: uma para o contexto
de denominao de configurao/esquema e outra para o de domnio.
Figura 21: Replicao de site vrios domnios

A topologia de configurao/esquema (comum em uma floresta) replicada em rodzio, independentemente


da associao ao domnio, enquanto cada domnio mantm uma topologia distinta.

Surge a dvida de como um domnio sabe o contexto de denominao de domnio do outro domnio. Isso
feito pelos controladores de domnio que servem como servidores de catlogo global um catlogo global de
cada domnio, replicando com um controlador de outro domnio. S um conector de replicao de contexto de
denominao de domnio necessrio j que o configurao/esquema replicam globalmente.

n Figura 22: Replicao de catlogo global

Nesse caso, o domnio B introduziu um catlogo global no site. Alm das suas tarefas de replicao normais,
o catlogo global (B1) criou um objeto de conexo com o controlador de domnio A1 do domnio A. O
catlogo global vai fornecer uma rplica parcial do NC do Domnio A que ser includa no catlogo global.

medida que so criados sites adicionais, eles vo constantemente ajustar a topologia de replicao para
acomodar novos controladores de domnio. A replicao entre sites feita usando-se conectores de site, o que
analisado na prxima seo.

O processo de replicao dentro do site totalmente automtico e sempre usa DS-RPC (Remote Procedure
Call) para transmitir alteraes de diretrio. Ainda assim, til ter uma boa compreenso da replicao dentro
do site caso seja necessrio fazer ajustes manuais topologia.

Replicao entre sites


Os sites no afetam as informaes que sero replicadas, mas apenas a forma como essas informaes so
replicadas. Geralmente, a replicao entre sites realizada usando-se DS-RPC em um conector lgico
definido por um link de site. Opcionalmente, a replicao entre sites pode usar mensagens SMTP desde que
esses sites no estejam no mesmo domnio.

Para que a replicao do Active Directory ocorra, os caminhos de replicao entre os sites precisam estar
vinculados manualmente, definindo links de site. Um link de site define uma conexo lgica entre dois ou
mais sites. Uma vez definidos, os objetos de conexo so configurados automaticamente.

Os links de site pode representar um grupo de conexes semelhantes de rede ou um nico link de WAN. Um
link de site pode conter vrios sites.

Figura 23: Links de site, sites e rede

No exemplo anterior, os sites SP, BH e RJ esto conectados atravs de uma rede de links de WAN de 256k.
Todos foram includos em um nico link de site, o que significa que a comunicao entre esses trs sites
feita ponto a ponto. Os demais sites foram todos conectados, seguindo o mapeamento da rede e usando links
de site separados para cada conexo.

Links de site
Um objeto link de site representa um conjunto de sites que podem se comunicar a um custo uniforme atravs
do transporte entre sites. Para transporte IP, um link de site tpico conecta apenas dois sites e corresponde a
um link de WAN real. Um link de site IP conectando mais de dois sites pode corresponder a um backbone
ATM conectando mais de dois clusters de prdios em um campus grande ou diversos escritrios em uma
grande rea metropolitana conectada atravs de linhas alugadas e roteadores IP.

Voc cria um objeto de link de site para um determinado transporte entre sites (geralmente transporte IP)
especificando:

Um custo para o caminho

Dois ou mais sites

O agendamento
O agendamento determina os perodos durante os quais o link est disponvel. Isso pode ser til para se
conectar sites que usam conexes de alto custo, como conexes dial-up.

Um site pode ser conectado a outros sites atravs de um nmero qualquer de objetos de links de site. Cada site
de um diretrio de vrios sites deve ser conectado por pelo menos um link de site. Caso contrrio, ele no
pode replicar com controladores de domnio de nenhum outro site e, portanto, o diretrio est desconectado.
Sendo assim, voc deve configurar pelo menos um link de site em um diretrio de vrios sites.

Custo

Os links de site tm custos numricos associados, que afetam o roteamento das mensagens entre os sites. Os
custos so atribudos automaticamente, mas podem ser alterados manualmente para refletir os atributos dos
caminhos percorridos da rede. Normalmente, os custos dos links de site sero associados a velocidades de link
de WAN. Nmeros de custo mais altos representam caminhos de mensagem mais onerosos.

Por exemplo, se voc criar um objeto de link de site SP-RJ-BH que conecta trs sites (So Paulo, Rio de
Janeiro e Belo Horizonte) ao custo de 20, voc est dizendo que uma mensagem de replicao pode ser
enviada entre todos os pares de sites (SP para RJ, SP para BH, RJ para SP, RJ para BH, BH para SP, BH para
RJ) ao custo de 20.

Figura 24: Links de site

Os custos dos links de site tm um impacto no roteamento das mensagens entre os sites. Por exemplo, na
figura 16 a seguir, uma mensagem enviada do site POR para BH tomaria a rota menos onerosa, nesse caso
POR-SAL-SP-BH cujo custo dois, embora o site BH esteja bem prximo.
Figura 25: Roteamento do link de site

Conforme mostrado na figura anterior, os custos dos links de site podem afetar profundamente os caminhos
de replicao. Um bom mtodo de se estabelecer custos de site associar um custo a um determinado link ou
condio da rede. Por exemplo, T-1 pode ter um custo de 15, enquanto um link de 512k pode ter um custo
associado de 25, etc. Estabelecer padres para custos de link de site vai evitar que se adivinhe o design da
topologia do site.

Pontes de link de site


Um objeto ponte de link de site representa um conjunto de links de sites, cujos sites podem se comunicar
atravs de algum transporte. Geralmente, uma ponte de link de site corresponde a um roteador (ou um
conjunto de roteadores) em uma rede IP.

As pontes de link de site fornecem transitividade entre os links de site e representam o prprio objeto de
conexo. Voc cria uma ponte de link de site para um determinado transporte entre sites especificando:

Dois ou mais links de site para o transporte entre sites especificado.

Para entender o significado de uma ponte de link de site, veja o exemplo:

O link de site XY conecta os sites X e Y atravs de IP a um custo de 3

O link de site YZ conecta os sites Y e Z atravs de IP a um custo de 4

A ponte de link de site XYZ conecta XY e YZ.

A ponte de link de site XYZ significa que uma mensagem IP pode ser enviada do site X para o site Z a um
custo de 3+4 = 7. s isso que a ponte faz nesse exemplo simples.
Figura 26: Ponte de link de site

Cada link de site de uma ponte deve ter um site em comum com outro link de site da ponte. Caso contrrio, a
ponte no pode calcular o custo dos sites no link L para os sites de outros links da ponte.

As pontes de link de site separadas, at para o mesmo transporte, so independentes. Acrescente os seguintes
objetos ao exemplo anterior:

O link de site WX conecta os sites W e X atravs de IP a um custo de 2

A ponte de link de site WXY conecta WX e XY.


Figura 27: Vrias pontes de link de site

A existncia dessa ponte adicional significa que uma mensagem IP pode ser enviada de W para Y a um custo
de 2+3 = 5. Mas no significa que uma mensagem IP pode ser enviada do site W para o site Z a um custo de
2+3+4 = 9. Em quase todos os casos, voc vai usar uma nica ponte de link de site como modelo da rede IP
inteira.

Qualquer rede que possa ser descrita atravs da combinao de links de site e pontes de link de site, tambm
pode ser descrita somente pelos links de site. Ao usar pontes de link de site, a sua descrio da rede torna-se
menor e mais fcil de ser mantida, pois voc no precisa de um link de site para descrever cada caminho
possvel entre os pares de sites.

Criao da topologia
Dependendo do nvel de controle necessrio, as topologias dos sites podem ser inteiramente configuradas, de
forma totalmente automtica ou totalmente manual.

Se voc tiver feito um trabalho adequado ao aprear os links dos sites, pode simplesmente criar pontes entre
todos os sites a partir das configuraes de NTDS no nvel do site e permitir que o KCC determine a melhor
rota para o roteamento das mensagens.

Por outro lado, voc pode controlar completamente o processo, desativando a gerao de KCC e criando
manualmente todas as pontes de link de site. Nesse caso, contudo, o administrador totalmente responsvel
pela criao e manuteno de pontes de link de site, o que, em grandes organizaes, pode ser uma tarefa
monumental.
Pode-se usar tambm uma mistura de configuraes automticas e manuais. Esse procedimento permite que
um administrador influencie a replicao sem ter que configurar toda a topologia manualmente. Esse mtodo
permite que o KCC gere automaticamente todas as pontes de link de site que podem ento ser modificadas
manualmente, conforme necessrio.

Localizando os servios
O servidor de catlogo global armazena uma rplica parcial de leitura somente contendo as informaes
freqentemente acessadas de cada domnio da floresta. Ele tambm armazena uma rplica de leitura/gravao
contendo essas informaes do seu prprio domnio. Ainda mais importante, cada objeto que autenticado no
Active Directory deve referenciar o servidor de catlogo global. Isso significa que todos os usurios que
efetuarem logon e todos os computadores que forem inicializados devem ser referenciados no catlogo global
quanto associao em grupos universais.

Isso no significa necessariamente que todos os controladores de domnio devem ser identificados como um
catlogo global. Embora seja verdade que o catlogo global desempenha um importante papel no processo de
autenticao, tambm verdade que uma quantidade bem menor de trfego e processamento da rede est
associado com o catlogo global do que a um controlador de domnio. Isso significa que menos catlogos
globais podem atender a mais clientes. Na verdade, o controlador de domnio de autenticao (e no o
cliente) que entra em contato com o catlogo global para associao do grupo universal.

Como regra, cada site deve ter pelo menos um servidor de catlogo global. Contudo, se diversos sites
estiverem bem conectados atravs de links de rede confiveis, os servidores de catlogo global podem atender
a mais de um site.

Conforme analisado anteriormente, absolutamente possvel misturar as funes e colocao dos servidores
para atingir o resultado desejado de fornecer servios confiveis e disponveis especficos a cada site.

Figura 28
Site A: Est configurado com dois servidores de catlogo global e um nico servidor de DNS. O site A
permite excelente disponibilidade do catlogo global. Caso o servidor de DNS no esteja disponvel, um
servidor de DNS no site B ou no site C pode ser usado.

Site B: Mantm dois servidores que fornecem servios de DNS. Um dos controladores de domnio tambm
age como um servidor de catlogo global do site. Novamente, os servidores de catlogo global esto
disponveis em outros sites, se o catlogo global local no estiver disponvel.

Site C: Contm um nico catlogo global e um nico controlador de domnio. Caso um deles no esteja
disponvel, os clientes podem usar os servios do site A.

Um caso considerado menos favorvel seria o uso de um nico servidor fornecendo servios de catlogo
global e de DNS. Caso esse servidor no esteja disponvel, todos os servios precisariam ser fornecidos alm
das fronteiras do site.

De qualquer forma, essencial que um servidor de DNS e um servidor de catlogo global estejam disponveis
aos clientes de um site. Se um servidor de catlogo global no estiver disponvel, o cliente no poder efetuar
logon na rede e muitos servios no vo estar disponveis.

Campos de ao do site
Os tamanhos reais dos sites vo variar bastante dependendo de:

O tamanho da organizao

O nmero de clientes e a sua distribuio fsica

A quantidade de dados a serem replicados

Em grandes organizaes com centenas de locais, talvez no seja vivel criar um site para cada segmento da
rede ou do campus. Nesses casos, ser necessrio criar para os sites campos de ao com o maior tamanho
possvel para reduzir o volume necessrio de administrao e gerenciamento. Os sites desse exemplo podem
se expandir por diversos locais fsicos conectados atravs de links de WAN (T-1) confiveis e rpidos.

Os sites podem ser usados para aumentar o desempenho de logon dos clientes. Se os logons dos clientes
estiverem demorando muito devido ao grande nmero de clientes em um site ou autenticao de clientes
atravs de links de baixa velocidade, a soluo pode ser reduzir o tamanho de um site ou acrescentar outro
site.

Determinar o campo de ao dos sites nem sempre um procedimento simples. Os sites so apenas um grupo
definido de sub-redes IP que esto bem conectadas. Contudo, como voc vai definir tanto as prprias sub-
redes IP quanto as sub-redes que sero includas em um site, provavelmente as opes sero muitas.

Em organizaes de pequeno porte, as definies dos sites devem ser fceis e se basear na conectividade de
velocidade da LAN. Em situaes simples, definir a topologia de replicao tambm simples e pode at ser
executada pelo KCC.

Nas grandes organizaes com diversos locais, definir as fronteiras dos sites ser mais difcil devido s
diferentes condies de largura de banda dos links da rede, alm de se tentar minimizar os custos
administrativos indiretos associados configurao e gerenciamento das conexes entre sites.
Em uma situao onde existem diversos sites, voc tambm vai querer ter uma boa idia da aparncia da
topologia de replicao entre sites. A replicao do diretrio ocorre dentro de um site e entre sites.

O Active Directory j tem alguns recursos internos que ajudam a reduzir o trfego da replicao:

Replicao diferencial: O Active Directory s replica alteraes para um objeto e no o objeto em si. Por
exemplo, se um nmero de telefone de um usurio for modificado, somente o nmero de telefone replicado,
em vez de todas as informaes do usurio.

Replicao agendada: A replicao dentro de um site e entre sites pode ser agendada e configurada.
Portanto, a replicao pode ser agendada para os horrios de menor uso da rede.

Compactao: A replicao de RPC entre sites vai usar a compactao. (Isso s se aplica entre domnios
diferentes.)

Campo de ao da replicao: O volume de informaes replicadas entre os domnios menor do que o


volume de informaes replicadas dentro de um domnio.

Topologias configurveis: A ordem em que os servidores e sites replicam pode ser completamente
configurada, assim como os horrios dessa replicao, permitindo que a replicao (entre sites) seja agendada
e que a replicao dentro de um site seja gerenciada.

Em vrias situaes, as fronteiras dos sites sero baseadas nas fronteiras dos links de rede de 10 megabits ou
mais. Isso no significa que as fronteiras dos sites no possam se expandir por links de velocidade mais baixa.
O nmero de variveis, como largura de banda, topologia da rede, latncia da rede e trfego de cliente e de
replicao, impedem a criao de uma expanso mxima para os sites da rede. Como a prpria topologia do
site replicada e como os sites so, na sua maioria, inter-relacionados, deve-se planejar bem a topologia do
site e criar esse plano com base em estimativas de trfego futuro e no atual.

Reviso
Nesta seo, analisamos os sites e a replicao. Especificamente, definimos os sites, links de site e pontes de
link de site, e analisamos a replicao entre sites e dentro de um site. Alm de entender essas definies,
necessrio entender como o Active Directory usa as informaes do site. Dessa forma, voc pode decidir qual
a melhor forma de implementar sites na sua empresa.

Um site uma ou mais sub-redes IP bem conectadas. Os links de site fornecem links entre sites e permitem
estimar preos e agendar. As pontes de link de site fornecem links transitivos entre os links de site. A
replicao o processo pelo qual as informaes do Active Directory so transmitidas atravs da empresa.
Definir um site como um conjunto de sub-redes permite que se configure rpida e facilmente a topologia de
acesso e de replicao do Active Directory a fim de aproveitar as vantagens da rede fsica.

Segurana
Implementar a segurana, quer seja em uma empresa, em um domnio ou em um nico computador, significa
encontrar um equilbrio entre foras fundamentalmente opostas fazer com que as informaes estejam
facilmente disponveis ao maior nmero de usurios e proteger as informaes crticas contra acesso no
autorizado.

Encontrar o equilbrio adequado requer um planejamento cuidadoso:


Avalie o risco e determine o nvel adequado de segurana da sua organizao.

Identifique as informaes importantes.

Defina as diretivas de segurana que usam os seus critrios de gerenciamento de risco e proteja as
informaes identificadas.

Determine a melhor forma de implementar as diretivas dentro da organizao existente.

Certifique-se de que as exigncias de gerenciamento e tecnologia foram atendidas.

Fornea a todos os usurios acesso eficiente aos recursos adequados, de acordo com as suas
necessidades.

O Windows 2000 oferece extraordinrios recursos de segurana que devem garantir a flexibilidade
necessria para se atender s mais difceis exigncias de segurana. Ao se planejar a segurana do
Active Directory, os fundamentos da sua soluo de segurana devem se basear em:

Autenticao

Diretivas de segurana

Controle de acesso (direitos e permisses)

Auditoria

Privacidade e integridade dos dados

A estrutura de segurana do Windows 2000 foi projetada para atender s mais rgidas exigncias de
segurana. Contudo, o software em si pode facilmente se tornar ineficiente sem um planejamento e avaliao
cuidadosos, diretrizes de segurana eficientes e treinamento do usurio.

Funes do servidor
As consideraes de segurana tambm sofrem a influncia da funo que um determinado servidor
desempenha em uma organizao (como um controlador de domnio, servidor da Web, servidor de arquivos
ou servidor de bancos de dados).

As implementaes de segurana devem ser aplicadas de forma adequada. Isso pode ser facilitado pela
definio das funes de um determinado servidor. A seguir esto as funes bsicas que podem ser
desempenhadas por um servidor:

Controlador de domnio

Servidor de arquivos

Servidor de aplicativos
Servidor de bancos de dados

Autoridade certificadora

Servidor da Web

Firewall

Servidor de servio de acesso remoto e roteamento

Controlador de domnio

Os controladores de domnio gerenciam todos os aspectos das interaes dos domnios dos usurios. O Active
Directory est localizado em cada controlador de domnio e armazena as credenciais de segurana de todas as
contas de domnio, assim como as diretivas e configuraes de segurana baseadas em domnios. Devido
confidencialidade das informaes armazenadas e devido sua funo crtica na empresa, os servidores que
agem como controladores de domnio devem estar associados a medidas de segurana rgidas.

Servidor de arquivos

Os servidores de arquivo armazenam arquivos para acesso por grupos e usurios. O principal objetivo dos
servidores de arquivo garantir a integridade dos arquivos e a disponibilidade dos arquivos aos grupos e
usurios adequados.

Definir o nvel de segurana que deve ser associado aos servidores de arquivos est diretamente relacionado
aos dados que esto sendo armazenados. Os proprietrios dos dados ou as diretivas departamentais vo em
geral determinar as medidas e normas que devem ser aplicadas ao armazenamento dos dados.

Servidor de aplicativos e de bancos de dados

Os servidores de aplicativos e de bancos de dados executam programas para uso na rede por diversos grupos e
usurios. O principal objetivo da segurana para servidores de aplicativos garantir a disponibilidade dos
programas aos grupos e usurios adequados, a integridade do programa ou programas e a integridade dos
dados do Registro.

Deve-se atribuir direitos e permisses adequados aos grupos que acessam o servidor. Geralmente, eles sero
especificados pela(s) pessoa(s) que administra(m) o aplicativo em questo.

Em geral, os grupos no precisam modificar os dados dos servidores de aplicativos, e a permisso de Leitura
deve ser suficiente na maioria dos casos. Contudo, se os usurios puderem modificar os arquivos de
configurao especficos aos programas durante a sesso, eles vo precisar de permisso de Gravao para
esses arquivos.

Autoridade certificadora

Ao usar um software para criar uma autoridade certificadora, como o Microsoft Certificate Server, voc pode
designar um servidor para funcionar como uma autoridade certificadora na sua organizao, emitindo
certificados digitais para a identificao e autenticao de usurios, assinatura por cdigo ou objetivos
personalizados.
Os servidores de certificados sero freqentemente o alvo pretendido da segurana de nvel mais elevado
disponvel na empresa, pois comprometer a autoridade certificadora pode danificar todos os outros aspectos
da segurana de dados.

Servidor da Web

Um software de servidor da Web, como o Microsoft Internet Information Services (IIS), permite que um
computador que esteja executando o Windows 2000 Server possa ser host dos dados para acesso intranet e
extranet e acesso geral Internet.

A segurana para servidores da Web aplicada junto com o determinado dado que est sendo servido. No
mnimo, um servidor da Web tambm um servidor de aplicativos, mas, s vezes, os servidores da Web
tambm oferecem acesso a redes internas e da Internet.

Firewall

Um firewall (como o Microsoft Proxy Server) age como um gateway protegido entre um site (rede interna) e
redes externas (intranets, extranets ou a Internet), restringindo a direo e os tipos de pedidos. Os firewalls
mais eficientes agem como proxies para servios especficos. Ou seja, um programa no firewall serve como
intermedirio entre o site e os servios que existem para oferecer suporte s operaes na rede externa (como
navegao na Web). Os programas proxy foram projetados para serem usados com determinados protocolos
de comunicao e podem aplicar restries complexas aos dados. Os firewalls tambm podem ocultar da rede
externa os endereos internos da rede e recusar conexes com determinados endereos externos da rede.

Servidor de acesso remoto e roteamento

Um servidor de acesso remoto fornece acesso remoto aos recursos da empresa. O Routing and Remote Access
Service (RRAS, servio de acesso remoto e roteamento) do Windows 2000 oferece suporte s seguintes
funes do servidor:

Servidor dial-in

Servidor Virtual Private Network (VPN, rede particular virtual)

Servidor de roteamento

Um nico servidor pode executar todas essas funes, ou determinadas funes podem ser distribudas entre
servidores.

Diretivas de segurana do Active Directory


As diretivas de segurana podem ser aplicadas aos sites, domnios e UOs (nessa ordem). Como o caso de
toda a segurana do Active Directory, a herana aplicada, como padro; os direitos aplicados a um domnio
tambm so aplicados s UOs filho desse domnio.

O campo de ao das diretivas de segurana est diretamente relacionado ao espao de nome do Active
Directory a hierarquia de rvore estruturada de sites, domnios, UOs e usurios/computadores. Em vrios
casos, isso vai gerar uma nica diretiva de segurana ampla que vai existir para um site ou domnio. Cada
uma das UOs filho (ou domnios filho) vai ter diretivas de segurana que so um subconjunto das diretivas
aplicadas ao pai, com diretivas adicionais atribudas que so especficas sua finalidade organizacional ou
funcional.
Uma diretiva de segurana est contida em um objeto Diretivas de grupo (ou Group Policy Object). Voc
pode aplicar diretivas de segurana, atribuindo um objeto Diretivas de grupo a cada domnio e UO. S um
objeto Diretivas de grupo pode ser atribudo por domnio ou UO em um determinado momento.

Direitos e permisses
O acesso aos recursos e/ou objetos controlado atravs de permisses e direitos de acesso. Os direitos se
aplicam a contas de grupos e de usurios (e aos processos que agem em nome de grupos e de usurios) e
autorizam o grupo ou usurio a realizar determinadas operaes, como fazer backup de arquivos e diretrios,
efetuar logon interativamente ou desligar um computador. Os direitos definem as capacidades no nvel do
domnio ou no nvel do local e podem ser melhor administrados por grupo; um usurio que efetua logon como
membro de um grupo herda os direitos associados ao grupo.

As permisses so atributos de segurana dos objetos. Os objetos incluem objetos do sistema de arquivos
NTFS (arquivos, pastas ou volumes), objetos do sistema (como processos) e objetos locais ou do Active
Directory (como objetos de usurio, grupo ou impressora).

As permisses especificam que usurios ou grupos podem acessar o objeto, bem como que aes eles podem
executar nele. Os tipos de permisses que podem ser concedidas variam com o objeto em questo. Os objetos
do sistema de arquivos contm atributos de permisso, como Leitura, Gravao e Execuo de uma pasta,
enquanto uma fila de impresso tem permisses associadas concesso da possibilidade de impresso e
gerenciamento da impressora e da fila de trabalhos. As permisses atribudas a um objeto permanecem com o
objeto, mesmo que ele seja movido para outro recipiente ou domnio do Active Directory.

Os direitos so aplicados independentemente dos outros objetos, o que significa que um direito pode s vezes
sobrepor a uma permisso. Por exemplo, um usurio que membro do grupo Operadores de backup tem o
direito de executar operaes de backup em todos os servidores de um domnio. Como esse direito requer a
capacidade de ler todos os arquivos desses servidores, o usurio ter acesso aos dados que de outra forma lhe
seria negado atravs das permisses do objeto. O direito, nesse caso, o direito de executar um backup,
prevalece sobre todas as permisses de arquivo e de diretrio.

As permisses so acumulativas; uma permisso de nvel superior inclui todas as permisses de nveis
inferiores, com exceo da permisso Sem acesso, que se sobrepe s outras. Por exemplo, se o usurio A for
membro de dois grupos com permisses a um determinado arquivo, sendo que o Grupo 1 tem permisso de
Leitura e o Grupo 2 tem permisso de Alterao, os direitos em vigor para o usurio A nesse arquivo so de
Alterao. Contudo, se o usurio A for adicionado ao Grupo 3 assinalado com a permisso Sem acesso, o
usurio A no teria acesso ao arquivo, independentemente das permisses concedidas por outros membros do
grupo.

O Windows 2000 Server usa um conjunto de permisses padro para os diretrios e arquivos do NTFS. As
permisses padro podem ser combinaes de permisses individuais especficas. As permisses individuais
so:

Controle total

Modificao

Leitura e Execuo

Listagem de contedo de pasta (para pastas somente)

Leitura
Gravao

Herana
Como padro, cada objeto filho herda as permisses de seu pai. A herana transmite as permisses atribudas
a um objeto e suas propriedades a todos os filhos do objeto. A herana pode ser limitada em qualquer objeto
do recipiente.

Ao aplicar a herana atribuio de direitos e permisses, voc pode distribuir em toda a gerncia da empresa
a administrao das contas, diretivas e recursos. O componente administrativo das diretivas de segurana
pode equivaler de forma eficiente a um organograma uma rvore de administradores com um campo de
autoridade sucessivamente limitado.

Como padro, um objeto herda as permisses de seu pai quando ele criado. Isso facilita a criao e
administrao de hierarquias lgicas. Contudo, as permisses atribudas ou modificadas no prprio objeto vo
sempre prevalecer em relao s permisses herdadas. Por exemplo, se voc acrescentar um arquivo a uma
pasta que permite ao grupo de TI a permisso de Alterao e ao grupo de Finanas permisso de Leitura, essas
mesmas permisses se aplicam ao arquivo. Voc pode alterar as permisses dos arquivos, selecionando e
modificando as permisses do grupo de Finanas para Sem acesso. Ao desativar a opo de herdar permisses
do pai, as permisses de arquivo no sero afetadas por nenhuma alterao subseqente s permisses
atribudas pasta pai.

Controle de acesso
O acesso aos recursos e/ou objetos controlado atravs de permisses e direitos de acesso. O controle de
acesso pode ser aplicado a qualquer objeto do Active Directory. Os direitos e permisses atribudos no nvel
do domnio so distribudos em todo o domnio pelo Active Directory.

Direitos e permisses

Os direitos se aplicam s contas de grupo e de usurio (e aos processos que agem em nome de grupos e de
usurios) e autorizam o grupo ou usurio a realizar determinadas operaes, como fazer backup de arquivos e
diretrios, efetuar logon interativamente ou desligar um computador. Os direitos definem capacidades no
nvel do domnio ou no nvel local e so melhor administrados por grupos: um usurio que efetua logon como
membro de um grupo herda os direitos associados ao grupo.

Os direitos so aplicados independentemente dos outros objetos, o que significa que um direito pode s vezes
sobrepor a uma permisso. Por exemplo, um usurio que membro do grupo Operadores de backup tem o
direito de executar operaes de backup em todos os servidores de um domnio. Como esse direito requer a
capacidade de ler todos os arquivos desses servidores, o usurio ter acesso aos dados que de outra forma lhe
seria negado atravs das permisses do objeto. O direito, nesse caso, o direito de executar um backup,
prevalece sobre todas as permisses de arquivo e de diretrio.

As permisses so atributos de segurana dos objetos. Os objetos incluem objetos do sistema de arquivos
NTFS (arquivos, pastas ou volumes), objetos do sistema e objetos locais ou do Active Directory (como
objetos de usurio, grupo ou impressora).

As permisses especificam que usurios ou grupos podem acessar o objeto, bem como que aes eles podem
executar nele. Os tipos de permisses que podem ser concedidas variam com o objeto em questo. Os objetos
do sistema de arquivos contm atributos de permisso, como Leitura, Gravao e Execuo de uma pasta,
enquanto uma fila de impresso tem permisses associadas concesso da possibilidade de impresso e
gerenciamento da impressora e da fila de trabalhos. As permisses atribudas a um objeto permanecem com o
objeto, mesmo que ele seja movido para outro recipiente ou domnio do Active Directory.
Voc pode atribuir permisses aos objetos como um todo ou a qualquer atributo desse objeto. Isso permite se
aplicar um controle de acesso granular dentro do Active Directory. Isso tambm pode gerar um esquema
administrativo complexo demais que impossvel de se administrar. Ao se planejar o controle de acesso,
certifique-se de que os direitos so aplicados de uma forma lgica.

As permisses atribudas permitem ou rejeitam determinadas aes para um determinado objeto ou suas
propriedades. Para os recipientes (como UOs), essas permisses podem ser aplicadas a objetos filho. Isso
garante uma gama de opes para se exercer o controle de acesso. possvel controlar no s quem v um
objeto, mas tambm quem pode ver determinadas propriedades de objeto. As permisses para uma nica
propriedade representam o nvel mais alto de granulosidade que se pode definir.

O Active Directory fornece grande flexibilidade na forma como as permisses so aplicadas. As permisses
atribudas a um recipiente (domnio/UO) podem ser aplicadas a:

O objeto atual

O objeto e todos os seus objetos filho

Somente aos seus objetos filho

Somente a determinados objetos filho

Herana

As permisses so acumulativas; uma permisso de nvel superior inclui todas as permisses de nveis
inferiores, com exceo da permisso Sem acesso, que se sobrepe s outras. Por exemplo, se o usurio A for
membro de dois grupos com permisses a um determinado arquivo, sendo que o Grupo 1 tem permisso de
Leitura e o Grupo 2 tem permisso de Alterao, os direitos em vigor para o usurio A nesse arquivo so de
Alterao. Contudo, se o usurio A for adicionado ao Grupo 3 assinalado com a permisso Sem acesso, o
usurio A no teria acesso ao arquivo, independentemente das permisses concedidas por outros membros do
grupo.

Como padro, cada objeto filho herda as permisses de seu pai. A herana transmite as permisses atribudas
a um objeto e suas propriedades a todos os filhos do objeto. A herana pode ser limitada em qualquer objeto
do recipiente.

Ao aplicar a herana atribuio de direitos e permisses, voc pode distribuir (em toda a gerncia da
empresa) a administrao das contas, diretivas e recursos.

Como padro, um objeto herda as permisses de seu pai quando ele criado. Isso facilita a criao e
administrao de hierarquias lgicas. Contudo, as permisses atribudas ou modificadas no prprio objeto vo
sempre prevalecer em relao s permisses herdadas. Por exemplo, se voc acrescentar um arquivo a uma
pasta que permite ao grupo de TI a permisso de Alterao e ao grupo de Finanas permisso de Leitura, essas
mesmas permisses se aplicam ao arquivo. Voc pode alterar as permisses dos arquivos, selecionando e
modificando as permisses do grupo de Finanas para Sem acesso. Ao desativar a opo de herdar permisses
da pai, as permisses de arquivo no sero afetadas por nenhuma alterao subseqente s permisses
atribudas pasta pai.

Administrao delegada
A capacidade de delegar administrao um dos recursos chave do Active Directory e tem sido aguardado
com ansiedade pelos administradores. A administrao delegada permite que se fornea controle
administrativo limitado a partes e tarefas do Active Directory. Isso elimina a necessidade de que vrios
administradores tenham autoridade completa sobre um domnio ou site inteiro. Um gerente que tenha os
direitos adequados pode, por sua vez, delegar a administrao de um subconjunto de contas e recursos. A
forma mais fcil de se usar a delegao espelhar as responsabilidades administrativas da organizao nas
diretivas de segurana. Por exemplo, ao se especificar o departamento de contabilidade como um recipiente,
possvel atribuir direitos do gerente do departamento relacionados criao e gerenciamento dos recursos,
grupos e usurios de contabilidade.

A delegao pode se aplicar a um recipiente individual ou a uma rvore de recipientes. Os direitos atribudos
so vlidos somente para o recipiente ou recipientes designados e permitem que o usurio de confiana:

Atribua propriedades para um determinado recipiente.

Crie e exclua determinados tipos de objetos filho do recipiente.

Atribua propriedades especficas a determinados tipos de objetos filho do recipiente.

As opes para delegao de acesso podem ser assustadoras devido ao enorme nmero de opes disponveis.

O administrador pode:

Delegar o controle de todo o recipiente ou 14 tipos diferentes de objetos que podem ser delegados. Dentro
desse recipiente de objetos selecionados que podem ser delegados, existem:

a) 16 tipos de permisses gerais.

b) 54 permisses de propriedades individuais.

c) 88 permisses individuais associadas s permisses de criao e excluso de sub-objetos.

Existem, portanto, 158 opes de permisses individuais, o que gera milhares de combinaes. Embora seja
uma boa idia conhecer os tipos disponveis de permisses que podem ser delegadas, convm manter as
permisses em um nvel alto o suficiente para que sejam gerenciveis.

Delegar recipientes inteiros quando:

a) O campo de ao da administrao para o grupo delegado envolver todos os objetos do recipiente.

b) Ao se passar a autoridade para uma sub-rvore de um ambiente de TI descentralizado.

Esse tipo de delegao adequado delegao de UO departamental.

Delegar objetos do recipiente parcial quando:

c) Ao se atribuir autoridade administrativa baseada em tarefas, como ao se criar administraes de


impressora ou de usurio, etc.

A delegao do recipiente parcial adequa-se bem administrao baseada em tarefas.

A figura a seguir ilustra a delegao bsica para as duas finalidades. O grupo de administradores de fabricao
foi delegado na UO de fabricao e forneceu acesso completo, exceto o reservado aos administradores do
nvel da raiz. As UOs de usurios e de impressoras s receberam o controle dos seus respectivos objetos
(usurios e impressoras).

Figura 29: Delegao simples

Observe que a entidade administrativa para a UO recebeu acesso completo, exceto as permisses reservadas
pelos administradores da empresa, enquanto os administradores baseados em tarefas (usurios e impressoras)
receberam explicitamente somente as permisses necessrias para realizar as tarefas designadas. Salvo que se
esteja completamente confortvel com os impactos da delegao de permisso, convm trabalhar com alguns
conceitos bsicos durante o planejamento:

1) Qualquer permisso que tenha um impacto adverso em unidades adjacentes ou recipientes superiores
na hierarquia devem estar restritos autoridade administrativa superior.

2) Nunca se deve delegar autoridade completa a um recipiente (ou seja, permisses de modificao e
controle de acesso), exceto se no houver nenhuma autoridade administrativa superior.

3) Ao se delegar tarefas, s se deve delegar os objetos e permisses do recipiente necessrios


execuo do trabalho.

A forma em que as permisses so delegadas tambm vai variar dependendo do modelo de TI administrativo
usado:

Tipo de TI Mtodo recomendado de delegao de UO

Centralizado A delegao sempre se baseia em tarefas.

Descentralizado Todas as permisses so delegadas.

TI distribudo A delegao de permisses e a criao de recipientes


restrita.

Impacto no design do diretrio


A capacidade de realizar delegaes administrativas lgicas com base em recipientes suficiente para
justificar um impacto na estrutura da UO para justificar recipientes que podem ser delegados. Contudo, deve-
se ter cuidado para no se basear uma estrutura de diretrio somente na necessidade administrativa.

Do ponto de vista de se priorizar consideraes de design, o peso colocado na facilidade da administrao


ser ajustado depois que determinados objetivos forem alcanados.

claro que a estrutura do diretrio deve poder ser administrada, e at esse momento a administrao
prevalece. Contudo, assim que esse objetivo for alcanado, a administrao deve assumir um papel secundrio
em relao aos outros objetivos de design, como segurana, otimizao da rede, capacidade de adaptao e
escalabilidade.

Infra-estrutura da chave pblica


As redes no so mais sistemas fechados onde a simples presena do usurio na rede serve como prova de
identidade. As redes empresariais pode consistir em intranets, sites da Internet e extranets, e todos esses
podem se estender alm da rede local.

H diversos motivos de preocupao quanto ao acesso aos dados. Muitas transaes comerciais so realizadas
atravs da rede. E muitos funcionrios podem no ser permanentes. Ou a empresa pode trabalhar com
parceiros em projetos de abrangncia e durao limitados, com funcionrios sobre os quais nada se sabe.

Em outras palavras, verificar a identidade de um usurio tornou-se uma tarefa difcil nos ltimos anos,
enquanto as relaes comerciais (entre as empresas e entre as empresas e seus funcionrios) tornaram-se mais
transitrias. Uma infra-estrutura de chave pblica pode fornecer mecanismos para solucionar esses problemas,
apresentando certificados de confiana que podem verificar a autenticidade.

Dependendo das necessidades da empresa, uma infra-estrutura de chave pblica pode incluir:

Uma diretiva abrangente determinando como os certificados e chaves devem ser usados.

Os certificados podem ser usados por programas clientes somente nas intranets por todos os funcionrios
ou por funcionrios especficos. Eles podem ser usados para contas associadas a empresas de parceiros nas
extranets ou para contas de acesso limitado na Internet. E os certificados podem ser usados para
procedimentos de logon com smartcards.

Diretivas de gerenciamento de confiana para cada autoridade certificadora (AC).

A empresa pode precisar de uma AC para emitir certificados para autenticao de contas padro ou para
segurana de correio eletrnico. Nesse caso, convm escolher uma AC de confiana para essa finalidade.
Contudo, se a organizao tiver vrias funes de certificado, como assinatura por cdigo, autenticao,
correio eletrnico e acesso extranet/Internet, deve-se considerar a atribuio de uma AC de confiana a cada
funo.

Regras de emisso e de validao para cada AC.

As regras de emisso e de validao especificam para quem e em que condies uma AC pode emitir um
certificado. Uma nica AC que est emitindo certificados para autenticao ou uso de correio eletrnico pode
emitir certificados para todos os funcionrios ou para funcionrios especficos. Diversas ACs emitiriam
certificados somente para usurios que possam ser validados de acordo com a base funcional da AC, como um
membro do grupo de desenvolvimento para uma AC de assinatura por cdigo.
Disponibilidade das ACs em uma cadeia de certificados de AC.

Quando um certificado de AC validado por outra AC, os certificados para as duas ACs devem estar
disponveis para o cliente. Quando as cadeias de AC se tornam muito longas, pode ser difcil garantir a
disponibilidade dos certificados de todas as ACs. A infra-estrutura da chave pblica deve lidar com essas
possveis situaes.

Diretivas de revocao de certificados.

Devem ser criadas diretivas para revocao de um certificado que no se aplica mais ou que foi mal
usado. Por exemplo, convm revogar um certificado que foi emitido para um funcionrio que no est mais na
organizao.

Diretivas de renovao de certificados.

Na expirao, em vez de exigir um novo certificado, convm renovar o certificado j existente. As


diretivas devem abordar quando, como e se isso pode ocorrer.

O Microsoft Windows 2000 introduz uma Public Key Infrastructure (PKI, infra-estrutura de chave pblica)
abrangente na plataforma do Windows. Isso maximiza e amplia os servios de criptografia de Public Key
(PK, chave pblica) do Windows, introduzidos durante os ltimos anos, fornecendo um conjunto integrado de
servios e ferramentas administrativas para a criao, implantao e gerenciamento de aplicativos baseados
em chaves pblicas. Isso permite que os desenvolvedores de aplicativos aproveitem os mecanismos de
segurana secreta compartilhada do Windows 2000 Server ou o mecanismo de segurana baseado em chaves
pblicas, conforme adequado. Ao mesmo tempo, as empresas tm a vantagem de poder gerenciar o ambiente
e os aplicativos com base em ferramentas consistentes e mecanismos de diretivas.

Propriedades de segurana
As propriedades de segurana descrevem os atributos fornecidos atravs dos protocolos de chave pblica e de
segurana IP. Esses atributos incluem itens como autenticao, integridade dos dados e confidencialidade.

O Windows 2000 inclui um sistema de gerenciamento de chaves totalmente funcional que realizado pelo
Microsoft Certificate Server. Os certificados do Windows 2000 se integram ao Active Directory para permitir
a publicao e processamento automticos dos pedidos de certificado.

A segurana PKI e IP protege os dados particulares em um ambiente pblico. Os administradores e usurios


do sistema precisam que os seus dados estejam protegidos contra interceptao, modificao ou acesso por
indivduos no autorizados, e os certificados garantem essa segurana.

Autenticao: Determina a identidade real do outro host. Sem uma autenticao forte, qualquer dado e o host
que envia o dado so suspeitos. possvel selecionar o mtodo de autenticao que ser usado na
comunicao.

Integridade: Protege os dados contra modificao no autorizada em trnsito, garantindo que os dados
recebidos estejam exatamente como eram quando foram enviados. possvel selecionar que algoritmo ser
usado para os servios de integridade.

Confidencialidade: Garante que os dados s sejam mostrados aos recipientes desejados, ao criptografar os
dados antes da transmisso. Essa propriedade pode ser configurada para atender a restries de exportao,
que colocam limites nos tamanhos das chaves.
Anti-reproduo ou preveno contra reproduo: Garante que cada pacote IP seja diferente. Isso protege
contra ataques durante os quais uma tentativa feita de se interceptar uma mensagem a ser usada
posteriormente para recursos de acesso invlido.

Impossibilidade de repdio: Protege os dados contra a desautorizao pela fonte. Em outras palavras, um
remetente no pode negar que ele era a fonte dos dados gerando uma fonte de dados duvidosa.

Componentes de segurana da chave pblica


O suporte para a criao, implantao e gerenciamento de aplicativos baseados em chaves pblicas
fornecido uniformemente nas estaes de trabalho e servidores de aplicativos do Windows NT e 2000, assim
como nas estaes de trabalho do Windows 95 e 98. A figura mostrada a seguir fornece uma viso geral
desses servios de aplicativos. O Microsoft CryptoAPI a base desses servios. Ele fornece uma interface
padro para a funcionalidade criptogrfica fornecida por Cryptographic Service Providers (CSPs, provedores
de servio de criptografia) instalveis. Esses CSPs podem ser baseados em software ou aproveitar os
dispositivos de hardware de criptografia e oferecem suporte a diversos algoritmos e chaves. Conforme
indicado na figura, um possvel CSP baseado em hardware oferece suporte a smartcards.

Figura 30

Um conjunto de servios de certificados est colocado em camadas nos servios de criptografia. Esses
servios oferecem suporte aos certificados padro X.509v3, garantindo um armazenamento persistente,
servios de enumerao e suporte de decodificao. Por fim, existem os servios que lidam com formatos de
mensagens de padro industrial.

Outros servios aproveitam as vantagens do CryptoAPI para fornecer funcionalidade adicional aos
desenvolvedores de aplicativos. O Secure Channel (schannel) oferece suporte autenticao e criptocrafia
usando protocolos TLS e SSL de padro industrial. Eles podem ser acessados usando-se a interface WinInet
da Microsoft para uso com o protocolo HTTP (HTTPS) e usado com outros protocolos atravs da interface
SSPI. O Authenticode oferece suporte assinatura e verificao de objetos. Isso tem sido usado
principalmente para determinar a origem e integridade dos componentes descarregados da Internet, embora
possa ser usado em outros ambientes. Por fim, h suporte para interfaces de smartcards de finalidade geral.
Essas tm sido usadas para integrar smartcards de criptografia em um aplicativo independentemente da forma
e so a base do suporte de logon da smartcard integrado ao Windows 2000.

Criptografia e chaves pblicas


A criptografia a cincia da proteo dos dados. Os algoritmos de criptografia combinam matematicamente
dados sem formatao de entrada e uma chave de criptografia a fim de gerar dados criptografados
denominados texto cifrado.

Na criptografia tradicional de chave secreta, as chaves de criptografia e descriptografia so idnticas e,


portanto, tm os mesmos dados confidenciais. Os indivduos que desejam se comunicar atravs da
criptografia de chave secreta devem trocar em segurana as suas chaves de criptografia e descriptografia para
que possam trocar dados criptografados.

Em oposio, a propriedade fundamental da criptografia de chave pblica que as chaves de criptografia e


descriptografia so diferentes. A criptografia que usa uma chave de criptrografia pblica uma funo de
mo nica; o texto sem formatao se transforma em texto cifrado facilmente, mas a chave de criptografia
irrelevante ao processo de descriptografia. Uma chave de descriptografia diferente (relacionada, mas no
idntica chave de criptografia) necessria para transformar o texto cifrado de volta em texto sem
formatao. Portanto, para a criptografia de chave pblica, cada usurio tem um par de chaves que consistem
em uma chave pblica e uma chave privada. Ao disponibilizar a chave pblica, possvel que outros enviem
dados criptografados para o proprietrio da chave que s podem ser descriptografados com a chave privada.
Da mesma forma, um usurio pode transformar dados usando a chave privada de forma que outros usurios
possam verificar que ela se originou com o proprietrio da chave privada. Essa ltima capacidade a base das
assinaturas digitais analisadas em seguida.

Figura 31

A figura anterior ilustra o fluxo de dados usando a criptografia de chave pblica. Se o remetente nesse caso
desejasse enviar dados ao computador destinatrio usando uma chave secreta, por exemplo, tanto o remetente
quanto o destinatrio gerariam metade da chave secreta. O remetente obteria a chave pblica do destinatrio
para criptografar metade da chave secreta e a enviaria ao destinatrio. O remetente e o destinatrio juntariam
as metades da chave secreta para gerar a chave secreta compartilhada a ser usada na criptografia dos dados a
serem enviados. Essa negociao de chave secreta e o uso da chave secreta para criptografar dados garantem
autenticidade, integridade e confidencialidade.

Certificados
Os certificados garantem um mecanismo para obter confiana na relao entre uma chave pblica e a entidade
que detm a chave privada correspondente. Um certificado um determinado tipo de declarao assinada
digitalmente; o assunto do certificado uma determinada chave pblica de assunto e o certificado assinado
pelo seu emissor (que detm outro par de chaves particulares de pblicas).

Figura 32

Geralmente, os certificados tambm contm outras informaes relacionadas chave pblica de assunto,
como informaes de identidade sobre a entidade que tem acesso chave privada correspondente. Portanto,
ao emitir um certificado, o emissor est atestando a validade da juno entre a chave pblica de assunto e as
informaes de identificao do assunto.

Servios de certificado
O Microsoft Certificate Server, includo no Windows 2000, fornece servios personalizveis para emisso e
gerenciamento de certificados para aplicativos que usam a criptografia de chave pblica. O Certificate Server
tem uma funo central no gerenciamento desse sistema a fim de fornecer uma comunicao segura na
Internet, nas intranets corporativas e em outras redes no protegidas. O Microsoft Certificate Server pode ser
personalizado para atender s exigncias de aplicativos de diferentes organizaes.

A funo dos servios de certificado criar uma autoridade certificadora (AC) com a finalidade de receber um
pedido de certificado no formato PKCS #10, verificar as informaes do pedido e emitir um certificado X.509
correspondente no formato PKCS #7. O mdulo de diretivas do Certificate Server usa a autenticao de
pedidos de certificado da rede para emitir certificados para usurios de contas de domnio do Windows 2000.
O mdulo de diretivas pode ser personalizado para atender s necessidades da organizao emissora. O
Certificate Server gera certificados em um formato X.509 padro.
O Certificate Server recebe pedidos de novos certificados atravs de transportes como RPC, HTTP ou correio
eletrnico. Ele verifica cada pedido em relao s diretivas personalizadas ou especficas ao site, define as
propriedades opcionais do certificado a ser emitido e emite o certificado. Ele tambm permite que os
administradores acrescentem elementos a uma Certificate Revocation List (CRL, lista de revogao de
certificados) e publiquem freqentemente uma CRL assinada. Para solicitar um certificado, um usurio pode
usar o snap-in do Gerenciador de certificados ou o Internet Explorer. Um Cryptographic Service Provider
(CSP, provedor de servios criptogrficos) localizado no computador gera um par de chaves pblica e privada
para o usurio. A chave pblica do usurio enviada com as informaes necessrias de identificao para a
AC. Se as informaes de identificao do usurio atenderem aos critrios da AC para concesso de um
pedido, a AC gera o certificado, que recuperado pelo aplicativo do cliente (Gerenciador de certificados ou
Internet Explorer) e armazenado localmente.

Os servios de certificado oferecem suporte a Secure/Multipurpose Internet Mail Extensions (S/MIME,


extenses de correio eletrnico da Internet de vrias finalidades/seguras), pagamento seguro, como Secure
Electronic Extensions (SET, extenses eletrnicas seguras) e assinaturas digitais. A sua organizao pode
preferir emitir todos os certificados a partir de uma nica AC ou usar diversas ACs que esto conectadas em
uma hierarquia de ACs.

Planejando autoridades certificadoras

Uma autoridade certificadora (AC) simplesmente uma entidade ou servio que emite certificados. Uma AC
age como abonador da vinculao entre a chave pblica e as informaes de identificao contidas nos
certificados que emite. ACs diferentes podem ser vinculadas para formar uma confiana hierrquica de
autoridades conhecida como hierarquia de ACs.

Uma implementao comum no Windows 2000 a criao de uma hierarquia de certificados da empresa para
distribuir a administrao e a carga. Isso no tem nenhuma relao com a hierarquia de domnios, embora as
confianas de ACs geralmente coincidam com as confianas Kerberos. Uma hierarquia de autoridades
certificadoras estabelece uma confiana transitiva de certificados emitidos.
Figura 33

Por exemplo, como a Amrica do Sul e a Europa confiam na AC raiz Supermercado, elas tambm vo confiar
mutuamente nos seus certificados.

Dentro de grandes organizaes que so compostas de diversas unidades pequenas, comum a necessidade de
cada unidade gerenciar os seus prprios recursos na intranet corporativa. Cada unidade deve implementar as
diretivas segundo as quais os solicitantes obtm aprovao para acessar os recursos da intranet.

Voc pode dar a essas unidades a capacidade de estabelecer diretivas e emitir certificados por si prprias,
permitindo que elas instalem servios de certificado e criem a sua prpria autoridade certificadora (AC). Voc
deve monitorar cuidadosamente a proliferao de diversas ACs dentro de uma intranet para que a autoridade
no seja mal empregada.

Nas empresas grandes, podem existir vrias camadas de ACs e, portanto, a hierarquia pode ser implantada em
todas as unidades da organizao pai. O uso de uma hierarquia de ACs d s organizaes grandes a
flexibilidade necessria para o gerenciamento de diretivas e a concesso de certificados em todo o sistema de
certificao composto de diversas autoridades certificadoras e gerenciado a partir de um nico ponto central.

IPSec
O Microsoft Windows 2000 Server inclui uma implementao da Internet Protocol Security (IPSec, segurana
do protocolo da Internet), baseada nos padres IETF para IPSec. A implementao da segurana IP no
Windows 2000 foi criada para proteger as comunicaes ponta-a-ponta entre hosts. Supe-se que o que est
entre eles, o meio usado para a transmisso de dados, no seguro.
Os dados do aplicativo do host que est iniciando a comunicao so criptografados de forma transparente
antes de serem enviados atravs da rede. No host de destino, os dados so descriptografados de forma
transparente antes de serem passados para o aplicativo receptor. Criptografar todo o trfego da rede IP garante
que qualquer comunicao que use o TCP/IP esteja protegida contra escutas. Como os dados so transmitidos
e criptografados no nvel do protocolo IP, no so necessrios pacotes de segurana distintos para cada
protocolo do stack TCP/IP.

Geralmente, um nvel alto de segurana aumenta a administrao. O Windows 2000 fornece uma interface
administrativa, o IP Security Policy Management, para gerenciar de forma centralizada as diretivas,
equilibrando facilidade de uso e segurana. As diretivas de IPSec podem ser facilmente configuradas para
atender s exigncias de segurana de um usurio, grupo, aplicativo, domnio, site ou empresa global. As
diretivas se baseiam em metodologias crticas de filtragem de IP, deixando que voc permita ou bloqueie as
comunicaes em um nvel alto (sub-redes inteiras) ou em um nvel granular (protocolos especficos em
portas especficas), conforme julgado necessrio.

O IPSec pode fornecer um nvel alto de proteo devido sua implementao no nvel de transporte IP
(camada 3 da rede). A segurana da camada 3 fornece proteo para todos os protocolos de camadas
superiores e IP do conjunto de protocolos TCP/IP (TCP, UDP, ICMP, Raw [protocolo 255] e at mesmo
protocolos personalizados). Aplicativos que usam TCP/IP transmitem os dados para a camada do protocolo IP,
onde os dados so protegidos pela IPSec.

Os mecanismos de segurana que funcionam acima da camada 3, por exemplo o Secure Sockets Layer (SSL,
camada de soquetes de seguros), s protegem aplicativos que usam o SSL, como navegadores da Web. Os
mecanismos de segurana que funcionam abaixo da camada 3, por exemplo criptografia da camada de link,
no so portveis para comunicao pela Internet ou intranet encaminhada.

Ao funcionar na camada 3, a IPSec transparente para usurios e aplicativos. Voc no precisa de pacotes de
segurana distintos para cada protocolo do conjunto TCP/IP. Assim que as diretivas estiverem configuradas,
os usurios no vo precisar agir para proteger os dados.

Diretivas da segurana IP

O recurso IPSec implantado atravs das diretivas do Windows 2000. Diversas diretivas de segurana podem
existir para um determinado domnio, mas os componentes das diretivas so constantes.

Diretivas de negociao: As diretivas de negociao determinam os servios de segurana usados durante


uma comunicao. Voc pode escolher entre servios que incluem confidencialidade (ESP) ou que no
fornecem confidencialidade (AH), ou o algoritmo de segurana IP pode ser especificado. Tambm possvel
se definir diversos mtodos de segurana para cada diretiva de negociao. Se o primeiro mtodo no for
aceito para a associao de segurana, o servio ISAKMP/Oakley vai prosseguir na lista at encontrar um
mtodo que possa ser usado para estabelecer a associao.

Diretivas de segurana: Cada configurao dos atributos da segurana IP chamada de diretiva de


segurana. As diretivas de segurana so compostas de diretivas de negociao e filtros IP associados. As
diretivas de segurana so associadas s diretivas do controlador de domnio. Uma diretiva de segurana IP
pode ser atribuda s Diretivas de domno padro, Diretivas locais padro ou diretivas de domnio
personalizadas criadas por voc. Um computador que efetua logon no domnio vai aproveitar
automaticamente as propriedades das diretivas de domnio padro e locais padro, incluindo as diretivas de
segurana IP atribudas a essas diretivas de domnio.

Filtros IP: Os filtros IP determinam aes diferentes a serem tomadas com base no local de destino de um
pacote de IP, no protocolo IP que est sendo usado (por exemplo, TCP ou UDP) e nas portas relacionadas que
so usadas pelo protocolo. O prprio filtro usado como um padro para correspondncia de pacotes IP. Cada
pacote IP verificado em relao ao filtro IP e, se houver uma correspondncia, as propriedades das diretivas
de segurana associadas so usadas para enviar a comunicao.

Opes de segurana IP

Parte das diretivas de negociao de IPSec determina a funo a ser desempenhada por um computador
durante a comunicao. Trs modos bsicos de funcionamento podem ser atribudos a um computador:

Respondedor: Um respondedor vai se comunicar atravs de IPSec, quando solicitado. Isso pode resultar
do fato de um respondedor iniciar uma sesso de comunicao com um computador que esteja funcionando
no modo de iniciador ou de bloqueio ou de ser solicitado por um iniciador.

Iniciador: Como padro, um iniciador vai se comunicar atravs de IPSec. Se o computador de destino no
oferecer suporte a comunicaes seguras, um iniciador vai responder e se comunicar sem proteo.

Bloqueio: Um computador no modo de bloqueio s vai se comunicar atravs de IPSec.

As diretivas bsicas podem ser aprimoradas com filtros para fornecer aplicao granular das diretivas. Por
exemplo, os computadores de um determinado departamento podem ter diversas diretivas de negociao
dependendo do endereo IP do computador com o qual est estabelecendo uma comunicao.

Os usurios experientes podem decidir que algoritmo HMAC ser usado para garantir a integridade. HMAC-
MD5 e HMAC-SHA fornecem o mesmo nvel de proteo, com a diferena sendo o tamanho da chave usada
para proteger as informaes: MD5 usa uma chave de 128 bits e SHA, uma chave de 160 bits. Chaves mais
compridas oferecem mais segurana.

Os usurios experientes tambm podem decidir que algoritmo ser usado em servios de confidencialidade. A
confidencialidade garantida usando-se o Digital Encryption Standard (DES, padro de criptografia digital).
40DES oferecido para garantir a compatibilidade com normas de exportao, que limitam o tamanho das
chaves. 3DES, tambm chamado de DES triplo, oferece o tamanho padro de chave de 56 bits ao passar trs
vezes pelo processo de criptografia. Em cada passagem, ele usa uma nova chave exclusiva, gerando a
criptografia tripla das informaes. Cipher Block Chaining (CBC, encadeamento de bloco cifrado) com DES
(DES-CBC) tambm fornece um tamanho de chave de 56 bits e evita reproduo adicional.

Protocolos de segurana
Os protocolos de segurana oferecem servios de proteo de dados e identidade (endereamento). Os
usurios experientes podem selecionar o protocolo que ser usado em uma comunicao:

Authentication Header (AH, cabealho de autenticao) fornece proteo de identidade, com servios de
autenticao, integridade e anti-reproduo. Proteo de identidade significa que somente as informaes de
endereamento so criptografadas e no os dados. Contudo, j que a integridade fornecida, os dados no
podem ser modificados, embora possam ser lidos (AH no oferece confidencialidade). O Authentication
Header (AH) do IP pode no oferece a impossibilidade de repdio se usado com determinados algoritmos de
autenticao.

Encapsulated Security Protocol (ESP, protocolo de segurana encapsulado) ESP um mecanismo para
fornecer integridade e confidencialidade aos datagramas IP. Tambm pode fornecer autenticao, dependendo
do algoritmo e do modo de algoritmo que so usados. O ESP no fornece a impossibilidade de repdio e
proteo contra anlise do trfego. O Authentication Header (AH) do IP pode fornecer no repudiao se
usado com determinados algoritmos de autenticao.
O Authentication Header do IP pode ser usado junto com o ESP para fornecer autenticao.

Planejando as diretivas de PKI e IPSec


O gerenciamento e a administrao de IPSec esto integrados interface de gerenciamento base do Active
Directory.

Nos domnios do Windows 2000, a autenticao pode ser obtida atravs do protocolo Kerberos predefinido.
Portanto, as infra-estruturas dos certificados no precisam ser implantadas para proteger clientes, servidores
de arquivos ou UOs de segurana (um grupo de computadores em uma unidade organizacional [UO] do
Active Directory com a finalidade de segurana).

Em situaes de acesso remoto/VPN/roteador a roteador, os certificados de chave pblica devem ser usados
para autenticao (ou chaves pr-compartilhadas, no caso de roteador a roteador).

Em geral, as comunicaes pela Intranet requerem nveis inferiores de segurana do que as comunicaes de
rede pblica: sem confidencialidade; sem encapsulamento; permisso de comunicaes no seguras. Isso vai
acelerar a taxa de transferncia das comunicaes, permitindo ainda algum nvel de segurana: integridade e
autenticao.

As comunicaes IPSec podem ser acionadas, aceitas ou impostas entre qualquer conjunto de computadores
ou individualmente. Se os dados forem muito confidenciais, fcil forar um computador a aceitar somente
comunicaes de IPSec.

Em geral, j que o encapsulamento adequado a nveis altos de segurana, as regras de IPSec que
especificam o encapsulamento tambm devem ter um alto nvel de segurana nas diretivas de negociao. Os
dados vo estar trafegando, na verdade, em uma rede pblica e, portanto, a confidencialidade (ESP) em
geral garantida. Como os pacotes so encapsulados, o que protege o cabealho inicial, no necessrio se
associar ESP a AH para obter proteo de endereamento (cabealho).

Definindo nveis de segurana

A implementao de IPSec requer um equilbrio entre tornar as informaes facilmente disponveis para o
maior nmero de usurios e proteger informaes crticas contra modificao e interpretao no autorizadas.
As estruturas de segurana IP e do Windows 2000 devem ser analisadas durante o planejamento:

Avalie os nveis de risco para determinar o nvel adequado de segurana necessrio.

Determine as informaes que devem ser criptografadas e o que deve ser protegido contra modificao.

Defina diretivas de acordo com critrios de risco e proteja as informaes categorizadas.

As consideraes sobre diretivas tambm so influenciadas pela funo dos computadores aos quais elas se
aplicam: ser usada uma segurana diferente para controladores de domnio, servidores da Web, servidores de
acesso remoto, servidores de arquivos, servidores de bancos de dados, clientes da intranet e clientes remotos.
A IPSec pode se tornar ineficiente rapidamente se no houver o planejamento e avaliao cuidadosos das
diretrizes de segurana e o design e atribuio adequados das diretivas.

Antes de criar as diretivas de IPSec, voc deve definir:

o que deve ser protegido

como proteg-lo

onde proteg-lo
quem vai gerenciar as diretivas

se as exigncias de exportao so uma questo a ser considerada

Os nveis de segurana a seguir so recomendados como diretrizes na implementao da estrutura geral de


segurana do Windows 2000. Para maior clareza, os nveis de segurana de IPSec correspondero a essa lista.

Segurana mnima

Segurana padro

Segurana alta

Nveis mnimos de segurana: Como padro, a IPSec no ativada. Se o plano de segurana no exigir
nenhuma proteo em determinadas situaes, nenhuma ao administrativa necessria.

Nveis padro de segurana: No h uma definio exata dos nveis padro de segurana. Eles podem variar
bastante, dependendo das diretivas e da infra-estrutura da organizao. A IPSec vai tentar atender a essa
exigncia ambgua com:

Diretivas e regras padro

Servios de confidencialidade so fornecidos como uma opo e, portanto, os servios de proteo esto
automaticamente em um nvel padro.

Como padro, as configuraes ISAKMP, algoritmos de autenticao e de integridade, encapsulamento e


nova gerao de chaves so definidos no nvel padro.

Em geral, as comunicaes pela intranet exigem nveis mais baixos de segurana do que as comunicaes
pela Internet, WAN ou redes externas: sem confidencialidade; sem encapsulamento; permisso de
comunicaes no seguras. Isso vai acelerar a taxa de transferncia das comunicaes pela intranet,
permitindo ainda algum nvel de segurana: integridade e autenticao.

Nveis altos de segurana: Um nvel alto adequado para situaes dial-up remotas, comunicaes WAN ou
qualquer comunicao entre redes externas. As comunicaes de redes particulares no devem ser excludas
automaticamente; em alguns casos uma segurana alta pode ser garantida para a intranet.

Novamente, no h uma definio exata pelos mesmos motivos, e a IPSec atende a esses critrios com:

Servios de confidencialidade para criptografar dados

Sigilo perfeito de roteamento, durao configurvel das chaves, limites Quick Mode, grupos Diffie-
Hellman configurveis e algoritmos extremamente resistentes (3DES e SHA).

Encapsulamento para qualquer tipo de conexo de rede.

A capacidade de associar ESP a AH para fornecer o nvel mais alto de proteo: integridade de pacote e
privacidade de dados.
Lembre-se de que nem todos os ataques vm de fora das redes corporativas. Se for exigida uma segurana
extremamente alta para uma intranet, encapsulamento deve ser usado, alm das diretivas de negociao de
alta segurana.

Quando os dados so extremamente confidenciais, no deve ser ativada a comunicao no protegida com um
host que no reconhece IPSec, mesmo que o host esteja na mesma rede, pois isso no garante que os dados
estejam protegidos.

Em geral, como o encapsulamento adequado a nveis altos de segurana, as regras de IPSec que especificam
o encapsulamento tambm devem ter um alto nvel de segurana nas diretivas de negociao. Os dados
estaro trafegando, na verdade, pela Internet e, portanto, os servios de confidencialidade (ESP) esto
geralmente garantidos.

Kerberos
Nesse release do Windows 2000, a verso 5 do Kerberos o principal protocolo de segurana. O Kerberos
verifica tanto a identidade do usurio como a integridade dos dados da sesso.

Os servios Kerberos esto instalados em cada controlador de domnio, e um cliente Kerberos instalado em
cada estao de trabalho e servidor do Windows 2000. A autenticao Kerberos inicial do usurio garante ao
usurio um nico logon aos recursos da empresa.

Alm de melhorar a segurana, o Kerberos permite:

Relaes de confiana transitiva para autenticao entre domnios

As credenciais de autenticao emitidas por um servio Kerberos so aceitas por todos os servios
Kerberos dentro da rvore do domnio. Alm disso, as credenciais emitidas por um servio Kerberos em uma
floresta de rvores de domnio so aceitas por todos os servios Kerberos da floresta.

Autenticao mtua de cliente e servidor

Tanto o cliente como o servidor so autenticados em uma sesso Kerberos.

Processos eficientes de autenticao

O Windows 2000 Server pode verificar as credenciais do cliente sem consultar o servio Kerberos no
controlador de domnio.

A implementao do Kerberos no Windows 2000 compatvel com qualquer outra implementao da


verso 5 do Kerberos que seja compatvel com IETF RFCs 1510 e 1964. Os clientes e servidores do Windows
2000 podem autenticar e, portanto, se comunicar com vrias outras plataformas que implementam o pacote de
autenticao Kerberos.

Autenticao delegada para transaes cliente/servidor de vrias camadas

Em algumas arquiteturas de aplicativos, uma transao de cliente precisa transitar em diversos servidores.
Nesse caso, o servidor atual pode autenticar para o servidor solicitado em nome do cliente.
Termos do Kerberos

Authentication Server, Ticket Granting Ticket Server, Key Distribution Center:

A documentao do Kerberos (RFC 1510) se refere a um Authentication Server (AS, servidor de


autenticao), um Ticket-Granting Server (TGS, servidor de concesso de tickets) e um Key Distribution
Center (KDC, centro de distribuio de chaves).

O KDC um servio de rede que fornece tickets e chaves temporrias de sesso. O KDC atende aos pedidos
de ticket inicial e de ticket de concesso de tickets. A parte de ticket inicial , s vezes, conhecida como AS. A
parte de ticket de concesso de tickets , s vezes, conhecida como TGS. Portanto, o KDC tanto AS como
TGS, conforme RFC 1510.

Privileged Attribute Certificate (PAC, certificado de atributos privilegiados):

O PAC uma estrutura que contm a SID do usurio e as GIDs universais, globais e locais aos quais pertence.

Ticket, ticket de concesso de tickets:

Em uma troca Kerberos bsica, o cliente envia primeiro um pedido para o AS para solicitar um ticket de
concesso de tickets que ser usado para solicitar um ticket do TGS para o servidor de destino.

Um ticket um registro que ajuda o cliente a se autenticar para um servidor. Ele contm a identidade do
cliente, o PAC, uma chave de sesso, uma marca de data e hora e outras informaes, tudo isso criptografado
atravs da chave secreta do servidor. Portanto, s o servidor que conhece essa chave secreta pode decodificar
o ticket. O ticket obtido de um KDC e passado ao servidor de destino para autenticao.

Normalmente, um Ticket-Granting Ticket (TGT, ticket de concesso de tickets) obtido durante o incio de
uma sesso de logon (em uma troca de AS). O TGT inclui informaes do PAC para o usurio e ser usado
para obter credenciais para outros servidores (p. ex.: servidores de arquivos) sem necessitar do uso adicional
da chave secreta do cliente.
O TGT criptografado na chave secreta do KDC e no pode ser descriptografado pelo cliente para evitar que
ele altere as informaes de associao a grupos contidas no PAC.

Kerberos e o tempo

Devido natureza sensvel ao tempo do protocolo Kerberos, vantajoso sincronizar os relgios do sistema.
Tanto os clientes como os controladores de domnio vo sincronizar automaticamente o tempo usando o
SNTP (Secure Network Time Protocol, protocolo de tempo de rede segura).

Um cliente do Windows 2000 vai obter o tempo do sistema de um controlador de domnio durante o logon e
as renovaes subseqentes de ticket. Os controladores de domnio tambm sincronizam o tempo de forma
hierrquica dentro do Active Directory. A raiz da estrutura do SNTP ser, como padro, o mestre de
denominao do domnio da floresta. O Windows 2000 vai incluir uma interface de usurio para configurao
de parmetros SNTP e mestres de tempo adicionais.

Autenticao Kerberos: logon de domnio

O KDC pode ser executado em todos os controladores de domnio do Windows 2000 e consiste em um AS
(Authorization Service, servio de autorizao) e um TGS (Ticket Granting Service, servio de concesso de
tickets). Esses dois servios agem juntos para fornecer TGT (Ticket Granting Tickets, tickets de concesso de
tickets) e tickets de sesso para autenticao.
Quando um cliente efetua logon inicialmente no domnio do Windows 2000, duas etapas bsicas vo estar
envolvidas.

O cliente vai solicitar e receber um ticket de concesso de tickets a partir do KDC.

O cliente vai submeter esse TGT ao KDC e receber subseqentemente um ticket de sesso para
autenticao para o LSA local.

Figura 34

Todos os controladores de domnio do Windows 2000 so executados como KDCs Kerberos. Antes de efetuar
logon, o sistema cliente vai primeiro localizar um controlador de domnio antes de prosseguir. Como a estao
de trabalho faz parte de um domnio, isso geralmente ocorre quando o canal seguro criado e um controlador
de domnio j conhecido.

As trocas de AS e TGS com o KDC so enviadas atravs da porta 88 UDP. As trocas entre o cliente e o
servidor de destino dependem do protocolo ponto a ponto usado por esses componentes.

O cliente envia um pedido de AS inicial ao KDC, fornecendo o nome do usurio e o do domnio. Esse
um pedido de autenticao e um TGT.

O KDC gera uma resposta de AS contendo um TGT criptografado com a chave secreta do KDC e uma
chave de sesso para trocas de TGS criptografadas na chave secreta do cliente. O PAC est contido na parte
de dados de autorizao do TGT. O KDC criptografa o TGT com a sua prpria chave privada para evitar que
o cliente altere as informaes de associao ao grupo.
Essa resposta enviada de volta para o cliente.

Para autenticar um usurio que efetua logon em um sistema local, o TGT obtido na troca de AS usado na
troca de TGS para obter credenciais para um sistema local. Isso significa que o usurio que est efetuando
logon precisa ter direitos para trabalhar no sistema local.
O cliente gera e envia um pedido de TGS contendo o nome principal do cliente (= nome do usurio) e o
ambiente, o TGT (a partir da troca de AS) para identificar o cliente e o nome da estao de trabalho local
como servidor de destino. Ele tambm inclui um autenticador. Dessa forma, o usurio est solicitando acesso
mquina local.

O KDC gera e envia uma resposta de TGS contendo um ticket para a estao de trabalho criptografada na
chave privada do cliente e outras informaes (p. ex.: uma marca de data e hora) criptografadas usando-se a
chave da sesso do TGT. Tambm est includo na parte de dados de autorizao do ticket o PAC copiado
pelo KDC a partir do TGT original. A partir das informaes includas no PAC, o LSA do lado do cliente vai
criar um token de acesso para o usurio.
Autenticao Kerberos: acesso aos recursos

Para que um cliente possa acessar um recurso em um servidor de destino, o cliente deve solicitar um ticket
vlido para o servidor de destino a partir do KDC.

Figura 35

Pedido de TGS:

Para solicitar o ticket vlido para o servidor de destino, o cliente envia um pedido de TGS para o KDC que
inclui o TGT obtido durante o logon inicial, o nome do cliente (=usurio) e o nome do servidor de destino.

Resposta de TGS:

O KDC responde com um ticket para o servidor de destino e uma chave de sesso a ser usada entre o cliente e
o servidor de destino.
O PAC includo nos dados de autenticao desse ticket. Tanto a chave da sesso como o ticket so
criptografados.

Pedido de AP:

Depois de obter um ticket vlido para o servidor de destino, o cliente envia um Application Request (AP,
pedido de aplicativo) ao servidor de destino. O pedido AP contm o ticket do servidor e um autenticador a ser
usado entre o cliente e o servidor de destino.
O servidor de destino ento descriptografa o ticket e o autenticador, e verifica se essa mensagem no uma
reproduo.

Resposta de AP:
A resposta de AP s contm a hora atual criptografada com a chave da sesso para informar ao cliente que ela
foi validada no servidor de destino.

Autenticao Kerberos entre ambientes

As fronteiras de um ambiente Kerberos so idnticas s de um domnio do Windows 2000. A autenticao


entre ambientes pode ser declarada como acesso aos recursos de outros domnios. O processo de acesso entre
ambientes bastante semelhante ao do acesso dentro de um ambiente, exceto que o KDC do cliente vai
remeter o cliente para KDCs de outros ambientes, que seguem a confiana explcita estabelecida para o
ambiente de destino.

Figura 36

Por exemplo, jusurio deseja acessar Jos no ambiente SE (domnio). O processo para se obter esse acesso :

1) jusurio envia TGS_REQ para KDC de NE

2) O KDC de NE responde com a chave de sesso para Supermercado

3) jusurio envia TGS_REQ para o KDC da Supermercado com informaes de destino

4) O KDC da Supermercado responde com a chave de sesso para SE.

5) jusurio envia TGS_REQ para KDC de SE com informaes de destino

6) O KDC de SE responde com TGT e dados de autorizao para Jos

7) jusurio envia AP_REQ para Jos com TGT e dados de autorizao

8) Jos responde com autenticador (opcional)

*O mesmo ticket de sesso usado para acessar Jos


As confianas Kerberos do Windows 2000 so transitivas dentro do campo de ao de uma floresta. Contudo,
as confianas no estabelecem necessariamente uma relao direta entre todos os domnios. Em vez disso, os
clientes recebero TGTs para ambientes pai que, por sua vez, fornecem um caminho para o destino. No caso
ilustrado aqui, uma enorme quantidade de acesso entre NE.Supermercado.com e SE.Supermercado.com pode
justificar a criao explcita de uma confiana Kerberos entre dois domnios. Assim que um ticket for obtido
para acesso a um recurso, o cliente pode usar esse ticket at a sua expirao (normalmente dez horas).

Interoperabilidade Kerberos

H duas formas em que o Windows 2000 pode funcionar com KDCs baseados em Kerberos MIT.

1. Primeiro, a estao de trabalho do Windows 2000 pode ser configurada para usar um KDC Unix. Os
usurios podem efetuar logon no Windows 2000 usando uma conta definida no KDC Unix. Isso igual ao
suporte de estao de trabalho Unix para logon Kerberos. Qualquer aplicativo do Windows 2000 ou Unix que
s requer autenticao baseada em nomes pode usar um KDC Unix como servidor Kerberos.

2. A segunda forma em que o Windows 2000 funciona com Kerberos MIT atravs de confiana entre um
ambiente Unix e um domnio do Windows 2000. A confiana entre ambientes a melhor forma de se oferecer
suporte aos servios do Windows 2000 que usam a personificao e controle de acesso.

Contudo, os clientes do Windows 2000 no podem usar um KDC Unix para autenticao no Active Directory.
O modelo de segurana distribuda do Windows 2000 depende em mais do que uma lista de SIDs para
autorizao de dados em tickets Kerberos, e esses protocolos vo bem alm dos servios de autenticao
fornecidos pelo servidor Kerberos MIT.

Planejamento de Kerberos
O uso de Kerberos nativo dentro do Windows 2000 requer pouco planejamento alm da implementao de
extenses de cliente nas mquinas com o Windows 95 e Windows 98. Contudo, caso alguma forma de
interoperabilidade de Kerberos seja exigida em ambientes externos, isso deve ser planejado na etapa inicial da
implantao. Quanto a isso, deve ser permitida uma integrao de PKI com o esquema de autenticao. Alm
disso, deve-se planejar passar a Porta 88 atravs de qualquer firewall para realizar a replicao de confiana
entre os ambientes.

Reviso
A segurana no Active Directory precisa achar um equilbrio entre tornar os dados facilmente acessveis e, ao
mesmo tempo, proteg-los. Esta seo analisou os conceitos de segurana do Windows 2000, como controle
de acesso e herana. Tambm explicou os mecanismos de segurana fornecidos com o Windows 2000 e
apresentou uma anlise de como se deve planejar a infra-estrutura de segurana.

Grupos
O melhor mtodo de se aplicar as diretivas de segurana atravs do gerenciamento eficiente de contas. Os
grupos de segurana do Windows 2000 representam o terceiro princpio de segurana e so a base da relao
entre os usurios e a segurana.

A forma mais eficiente de se administrar a segurana atribuir direitos e permisses aos grupos de segurana
em vez de a usurios ou computadores individuais. Em geral, um usurio ou computador precisa acessar
diversos recursos. Se o usurio ou computador for membro de um grupo com acesso aos recursos, voc pode
controlar o acesso, acrescentando ou removendo o usurio ou computador do grupo, em vez de alterar as
permisses do recurso. Definir permisses para um usurio ou computador individual no altera as permisses
concedidas ao usurio ou computador atravs dos grupos aos quais o usurio pertence.

Basear as diretivas de segurana e o gerenciamento de contas em grupos, em vez de em usurios ou


computadores, reduz o custo de propriedade. A administrao no nvel da conta ou do recurso pode ento ser
limitada a casos excepcionais.

Estruturas de segurana
Os grupos fornecem um mecanismo eficiente para a criao de estruturas de segurana no Windows 2000,
enquanto as estruturas de segurana so uma hierarquia administrativa usada para reduzir o nmero de itens a
serem administrados individualmente.

As estruturas de segurana podem ser usadas para associar usurios a grupos e esses grupos a outros grupos
que so gerenciados por agrupamentos administrativos. Por exemplo, um determinado conjunto de usurios
pode estar contido dentro de um grupo denominado Usurios do escritrio. Esse grupo pode ser usado para
atribuir um determinado ambiente de rea de trabalho atravs de diretivas. Outro grupo denominado Todos os
usurios pode incluir o grupo Usurios do escritrio, alm de outros para facilitar a aplicao de definies
globais em usurios. O grupo Todos os usurios pai dessa determinada estrutura de segurana, mas tambm
pode ser gerenciado por outra estrutura de segurana composta de grupos de tipo de administrador.

A finalidade das estruturas de segurana classificar e agrupar regras de segurana da mesma forma que
devem ser administradas.

Utilizao de grupos
Os grupos tambm podem pertencer a outros grupos. Voc pode usar isso para criar um intervalo adequado de
contextos de grupo para avaliao dos direitos. Por exemplo, pode haver um grupo Produo que engloba
responsabilidades de fabricao, empacotamento e envio. Voc pode criar os grupos Fabricao, Envio e
Produo, atribuir direitos adequados a cada um deles e fazer com que todos eles pertenam ao grupo
Produo. Os direitos que voc atribui ao grupo Produo so aplicados a todos os seus grupos membros.

Para implementar uma estratgia baseada em grupos:

Crie grupos de segurana abrangente.

Atribua direitos aos grupos antes de criar contas de usurios ou computadores.

Delegue a administrao dos grupos ao gerente ou lder de grupo adequado.

O tipo de grupo usado para gerenciar contas e recursos determina parcialmente como as diretivas de
segurana vo ser aplicadas. O Windows 2000 Server introduz grupos novos e mais funcionais cada um tem
mais funes diferentes e campo de ao. H trs tipos de grupos de segurana dentro do Active Directory:

Grupos globais: Os grupos globais s contm usurios do domnio local, mas podem ser usados em qualquer
lugar. Portanto, se membros de um grupo devem estar limitados a um nico domnio, mas o acesso aos
recursos globais exigido, use grupos globais.

Grupos locais de domnio: Os grupos locais de domnio tambm contm membros de qualquer domnio, mas
s podem ser usados no domnio onde so criados. Os grupos locais de domnio so, portanto, bem adequados
ao acesso aos recursos do domnio local que requerem associao global.
Grupos universais: Os grupos universais podem conter membros de qualquer domnio e so usados para
atribuir direitos de acesso aos recursos.

As sees a seguir fornecem distines entre os tipos de grupos qualidades e limitaes bem como
recomendaes de uso.

Grupos globais

Os grupos globais so os membros mais versteis da famlia de grupos e tm os seguintes atributos:

S podem conter membros do domnio onde foram criados.

Os membros podem incluir contas de usurios e outros grupos globais do mesmo domnio.

Podem ser eles mesmos membros de grupos universais e de grupos locais de domnio.

Esses atributos proporcionam um uso claro dos grupos globais. Considerando-se que a associao limitada,
os grupos globais devem ser usados para definir grupos, cuja associao vai estar sempre limitada aos seus
prprios domnios.

Figura 37: Associao a grupo global

Por exemplo, esses grupos globais foram criados nos domnios Supermercado, Fabricao e Distribuio com
a inteno expressa de s permitir a associao das suas respectivas contas de domnio.

A associao limitada reduz o nmero de problemas de segurana que normalmente surgiriam nesse tipo de
situao onde as contas de domnios externos no autorizadas so acrescentadas intencional ou
inadvertidamente aos grupos globais.
Os grupos globais so bem adequados criao de estruturas de segurana dentro de um domnio, pois podem
ser aninhados, mas somente dentro do domnio onde foram criados. Ao se incrementar o exemplo anterior, o
grupo global Admins Fabricao pode conter outros grupos globais do domnio de fabricao, como
Admins SQL. Usar grupos globais dessa forma fornece uma base para cada controle de acesso granular e
atribuio de permisses.

Figura 38: Aninhamento de grupos globais

Usar grupos globais dessa forma fornece uma base para cada controle de acesso granular e atribuio de
permisso.

O aspecto global dos grupos globais vem na sua prpria utilizao. Um grupo global pode ser membro de
qualquer outro tipo de grupo de segurana e, portanto, incrementando o conceito das estruturas de segurana.
Isso significa que podem ser usados para a atribuio de permisses diretas aos recursos fora do domnio,
alm de serem includos nos grupos universais ou locais de qualquer domnio.

Grupos locais de domnio

Os grupos locais de domnio so a anttese dos grupos globais, pois eles podem conter membros de qualquer
outro tipo e de qualquer domnio, mas s podem ser endereados localmente. Como os grupos globais, os
grupos locais de domnio podem conter outros grupos locais de domnio, mas somente do seu prprio
domnio.

Esses atributos tornam os grupos locais de domnio bem adequados para limitar o campo de ao da sua
utilizao, enquanto permitem a associao de qualquer domnio.

Incrementando o conceito de estruturas de segurana apresentado na utilizao dos grupos globais, um uso
adequado dos grupos locais de domnio seria o de servir como raiz da estrutura de segurana.
Figura 39: Utilizao dos grupos locais de domnio

Na figura anterior, o grupo Admins Supermercado foi criado com a inteno de ter associao global e
permisses atribudas aos recursos dentro do domnio Supermercado. Esse um grupo agregado de forma
eficiente que contm os grupos globais dos domnios filho. O grupo local de domnio Admins
Supermercado nesse caso s pode ser acessado a partir do domnio Supermercado.

Grupos universais

Os grupos universais so muito semelhantes aos grupos locais de domnio, pois podem conter contas de
usurios, grupos universais e grupos globais de qualquer outro domnio. Contudo, os grupos universais
tambm podem ser acessados de qualquer domnio, tornando-os muito flexveis.

Novamente, para usar os exemplos anteriores, os grupos universais seriam usados para criar a estrutura, mas
agora a estrutura pode se basear em qualquer nvel, at mesmo dentro do seu prprio domnio.
Figura 40: Utilizao de grupos universais

No exemplo anterior, o grupo universal contm os grupos globais e locais de domnio, mas podem ser
acessados de qualquer um dos domnios. Alm disso, o grupo universal Todas as admins pode estar contido
em outro grupo universal em qualquer um dos domnios.

Da mesma forma, os prprios grupos universais podem agir como membros de qualquer outro tipo de grupo,
o que fornece um mecanismo para estruturas de grupo muito complexas.

Consideraes sobre design

Os grupos de segurana devem ser usados como um fundamento para o gerenciamento de contas do usurio e
a segurana distribuda. O planejamento e implementao corretos dos grupos ter uma papel importante na
reduo do custo total de se administrar um sistema distribudo.

Enquanto o enfoque at agora esteve na utilizao dos grupos para ajudar a administrao dos recursos, os
grupos tambm fornecem um excelente mecanismo para se administrar os prprios usurios. Agrupar usurios
semelhantes em classificaes para administrao vai permitir que tarefas trabalhosas, como distribuio de
software e aplicao de diretivas, sejam feitas de forma mais rpida. Esse aspecto dos grupos vai ser abordado
em detalhe mais adiante na seo sobre planejamento das diretivas de grupo.

As informaes a seguir so teis no planejamento de grupos e de diretivas de grupos.

Um controlador de domnio requer conhecimento global das associaes de grupo para calcular todos os
grupos (direta ou indiretamente) que contm. Com os grupos universais, o controlador de domnio usa o
catlogo global para realizar esse clculo de associao.

Como o controlador de domnio usa o catlogo global para calcular as associaes de grupos universais, o
catlogo global deve conter todas as associaes de grupos universais. Mas se todos os grupos so grupos
universais, as associaes de grupos universais vo ser alteradas com bastante freqncia, gerando um alto
nvel de trfego de replicao do catlogo global. Um escritrio de mdio porte talvez no seja capaz de
sustentar a largura de banda da rede necessria para que o catlogo global fique atualizado.
Quando voc efetua logon em um servidor de recursos, um controlador de domnio no domnio de conta
calcula o conjunto de todos os grupos aos quais voc pertence que podem ser usados para controlar o seu
acesso ao servidor de recursos. Esse conjunto inclui todos os grupos universais aos quais voc pertence.
Geralmente, s uma frao dos grupos aos quais voc pertence ser usada para controlar o acesso em qualquer
servidor de recursos especfico.

Local de domnio: Entrando em detalhes, os grupos locais de domnio no so replicados como parte do NC
do domnio e, portanto, geram menos sobrecarga de replicao.

Atributo Global Local de domnio Universal

Associao Limitado Aberto Aberto

Pode conter Usu/Global Usu,Univ,Global Usu,Univ,Global

Atribuio de permisses Aberto Limitado Aberto

Aninhamento Limitado Limitado Aberto

Pode ser atualizado Para universal Para universal no

* Associao: O campo de ao da associao (limitado = domnio local de objeto somente; Aberto = objetos
de qualquer domnio). Pode conter: Tipos de objetos que podem pertencer a esse grupo. Atribuio de
permisses: O campo de ao onde esse domnio pode ser acessado (limitado = s pode ser usado no
domnio criado). Aninhamento: A capacidade do grupo de conter o seu prprio tipo de grupo (limitado = dentro
do seu prprio domnio somente). Pode ser atualizado: A capacidade de um grupo de ser alterado (atualizado)
para outro grupo.

Restries de modo misto

Enquanto estiver operando em modo misto, h poucas restries em relao funcionalidade dos grupos.
Geralmente, essas restries esto relacionadas a fornecer compatibilidade retroativa ao Windows NT 4.0 e
esto associadas ao aninhamento. No modo misto:

Os grupos universais no existem como um grupo de segurana.

Os grupos globais s podem conter contas e no podem ser aninhados.

Os grupos locais de domnio podem conter contas e grupos globais, mas no podem ser aninhados.

Essas restries no se aplicam mais quando o domnio convertido para o modo nativo.

Reviso
Compreender as propriedades e implicaes dos diversos tipos de grupos do Windows 2000 essencial ao se
planejar a hierarquia e as funes administrativas. Revendo: os grupos so unidades administrativas e podem
ser globais, locais de domnio ou universais.
Os grupos globais s podem conter usurios do domnio local, mas podem ser usados em qualquer lugar. Os
grupos locais de domnio tambm podem conter membros de qualquer domnio, mas s podem ser usados no
domnio onde foram criados. Os grupos universais podem conter membros de qualquer domnio e so usados
para atribuir direitos de acesso aos recursos.

Como voc usa grupos para administrar e implementar as diretivas de segurana da sua organizao,
necessrio compreender bem os grupos e certificar-se de que eles sejam bem planejados.