Active Directory

Introduo

WorkGroup - Antes do Active Directory

WORKGROUP
O Cadastro de usurios local em cada estao de trabalho.
O compartilhamento de impressoras e pastas so com usurios da estao origem. A partir do Windows Vista est bloqueado o compartilhamento sem senha. (Pode ser revertido atravs de uma chave na politica de segurana.) difcil o acesso a recursos da rede, principalmente de outros domnios. difcil a centralizao dos controles das estaes de trabalho como, instalar programas, configurar impressoras, bloquear recurso das as estaes de trabalho, limpeza de vrus de forma centralizada. Existem programas que podem centralizar as tarefas das estaes de trabalho fora de um controle centralizado como o Active Directory, ex: a console de alguns antivrus, deepfreeze, samba, etc.

Active Directory - Origens

Criado baseado nos sistemas:
O domnio do Windows NT Server Centralizava o controle de usurios, grupos e compartilhamento de pastas e impressoras em estaes de trabalho Windows NT. LDAP um banco de dados que utiliza a logica de arvore, onde possvel armazenado diversos tipos de objetos (lembrando que objetos um conjunto de atributos/variveis e mtodos/funes), onde mais rpida a leitura e mais lenta a escrita. Um processo de armazenamento de pastas distribuda chamado DFS (Distributed File System), para realizar a replicao e a distribuio dos diversos componentes do Active Directory.

Active Directory - LDAP

LDAP Entre as diversas ferramentas disponveis no LDAP que foram aproveitadas no Active Directory, podemos destacar:
Esquema: onde fica armazenado os esqueleto dos objetos, tambm conhecidos como classes de objetos. Objetos: conforme j explicados so o conjunto de atributos/variveis e mtodos /funes. Estes objetos possuem seus detalhes de criao (instncia) detalhado no esquema. Container ou Unidade Organizacional: uma pasta (tambm pode ser entendido como uma caixa) onde so armazenados os objetos.

Active Directory Componentes Bsicos

Domnio: Limite administrativo e de segurana em que so gerenciados os recursos de rede (usurios, grupos, computadores, impressoras, scanners, etc.) Ex: tjpi.jus.br e tjpi.local.
Arvore: um conjunto administrativo de domnios que possuem uma determinada relao de confiana e segurana em comum.

Floresta: um conjunto de arvores.

Relao de confiana: o modo como os recursos especficos de um domnio so utilizados por outros domnio. Podem ser direcionais e transitivas. Unidade Organizacional (OU): a pasta ou container ou caixa de um determinado domnio onde so armazenado os objetos.

Active Directory Componentes Bsicos

Sites: So grupos de domnios ou arvores que possuem uma velocidade de dados de rede comum, separando sistemas de baixa velocidade dos sistemas de alta velocidade. A justificativa para a separao o fato do AD possuir a necessidade de replicao automtica de base de dados e como estes dados so sensveis, para no haver corrupo, as redes so separadas pela velocidade. O AD usa o protocolo SMTP para conexo entre as redes mais lentas.
Controlador de Domnio: uma mquina fsica ou virtual que foi instalado o sistema operacional Windows Server (2008 ou 2012 no caso do TJPI) que possui a funo de armazenar o banco de dados do Active Directory

Active Directory Componentes Bsicos

Catalogo Global: um resumo do banco de dados do Active Directory que pode ser visvel atravs de um ou mais controladores de domnio. Seu objetivo agilizar funes de autenticao de alguns programas e principalmente o logon nas estaes de trabalho. Grupos: um objeto especfico do AD que controla um determinado recurso compartilhado (impressora, pasta) atribuindo nveis especficos de segurana a determinados conjuntos de usurios. Os grupos podem ser do tipo segurana (uso comum) ou distribuio (apenas para o E-mail Server Exchange). Possuem o escopo local (apenas na mquina especfica), domnio (apenas no domnio especfico), Global (Em domnios da mesma arvore) e Universal (toda arvore).

Active Directory Figura bsica

Usurios
Usurio tambm um objeto, ou seja possui atributos e funes dentro do AD. O objetivo do objeto usurio identificar uma pessoa fsica dentro de uma organizao, ex: alexandre.camilo; ou um servio especfico dentro de algum servidor, ex: admsharepoint usurio utilizado pelo servio sharepoint. O Usurio no possui em si mesmo nenhuma permisso para fazer nada, quando ele criado o Windows atribui automaticamente o usurio aos grupos: usurios, usurios do domnio ou administradores;

GRUPOS
Grupos: um objeto que tem por objetivo controlar um determinado recurso compartilhado (ex: impressora, pasta) ao qual pode ser atribuindo nveis especficos de segurana e oferecido a determinados conjuntos de usurios. No AD, os grupos podem ser do tipo segurana (uso comum) ou distribuio (apenas para o E-mail Server Exchange). Possuem o escopo local (apenas na mquina especfica), domnio (apenas no domnio especfico), Global (Em domnios da mesma arvore) e Universal (toda arvore).
Ao criar um grupo, ele no possui nenhum nvel de segurana definido, NOS DEVEMOS DEFINIR MANUALMENTE A DEFINIO DE SEGURANA DE CADA GRUPO.

GRUPOS LOCAIS
O Windows disponibiliza alguns grupos padres que podem ser utilizados. No aconselhvel alterar a configurao destes grupos, pois so utilizados em funes essenciais do WINDOWS.
ADMINISTRADORES todos os usurios que sero administradores local. ATENO: NO WINDOWS VISTA, 7 E 8 OS USURIOS DESTE GRUPO NO POSSUEM ACESSO A TUDO, MAS POSSUEM A PERMISSO DE SOLICITAR ESTE ACESSO. CONVIDADO - grupo que no possui acesso a nada, existe apenas para compatibilidade com Windows 95/98. No deve ser excludo de forma nenhuma.

GRUPOS LOCAIS
Usurios Grupo principal, atribudo a todos os usurios no momento da criao, atribui permisses principais nas reas comuns, possui diversas diferenas em Windows XP, Vista, 7 e 8.
Usurios Avanados O usurio deste grupo possui acesso a alguns recursos extras, usado apenas para manter compatibilidade com verses 2003 e XP do Windows, no deve ser usado em Windows Vista, 7 e 8. Usurios da rea de trabalho remota Lista quem pode acessar remotamente via Remote Desktop o Windows, o usurio s acessar a rea permitida. Ex: o usurio que faz parte do grupo usurios, acessar apenas as pastas do seu perfil.

EXEMPLOS DE GRUPOS DE WINDOWS 7

GRUPOS LOCAIS - Limites

Os grupos locais atribuem permisses exclusivas para acesso ao computador local, no conseguem atribuir permisso a outro computador.
Se um usurio local (criado no computador 1) fizer parte do grupo administradores do computador 1, ele no ter permisso de acessar nada do computador 2. No Windows existe um recurso de Workgroup que se o mesmo usurio for criado em dois computadores diferente com as mesmas permisses, um acessa o recurso do outros, mas parece que este recurso esta sendo descontinuado pela Microsoft no Windows 7 e 8, pois nem sempre funciona.

GRUPOS SEGURANA

PERMISSES NTFS x COMPARTILHAMENTO

rea para inserir o grupo ou usurio

rea para definir as permisses

Layout de Ttulo e Contedo com Grfico

6

0 Categoria 1 Categoria 2 Srie 1 Srie 2 Categoria 3 Srie 3 Categoria 4

Layout de Contedo de Duas Partes com Tabela

Primeiro marcador aqui
Segundo marcador aqui Terceiro marcador aqui
Classe 1 Classe 2 Classe 3 Grupo A 82 76 84 Grupo B 95 88 90

Layout de Ttulo e Contedo com SmartArt

Ttulo da Etapa 1

Ttulo da Etapa 2

Ttulo da Etapa 3

Ttulo da Etapa 4