1. WINDOWS 2000 AD – Active Directory
Autor: Fabiano de Santana
Certificações: MCP – MCSA 2000/2003 – MCSE 2000
O conteúdo deste artigo faz parte dos tópicos cobrados nos Exames 70-210, 70-215 e
70-218. Para um manual de estudos completo para os exames 70-210, 70-215 e 70-218,
não deixe de conferir os manuais “Manual de Estudos MCSE 70-210”, “Manual de
Estudos MCSE 70-215” e “Manual de Estudos MCSE 70-218”.
Ambos os manuais estão disponíveis para venda aqui no site:
http://www.juliobattisti.com.br . Confira também os Simulados para os Exames 70-210
e 70-215, com 120 questões cada, com respostas e comentários detalhados, disponíveis
para compra nos seguintes endereços: “Simulado MCSE 70-210” e “Simulado MCSE
70-215”.
O Active Directory surgiu da necessidade de se ter um único diretório, ou seja, ao invés
do usuário ter uma senha para acessar o sistema principal da empresa, uma senha para
ler seus e-mails, uma senha para se logar no computador, e várias outras senhas, com a
utilização do AD, os usuários poderão ter apenas uma senha para acessar todos os
recursos disponíveis na rede. Podemos definir um diretório como sendo um banco de
dados que armazena as informações dos usuários.
O AD surgiu juntamente com o Windows 2000 Server. Objetos como usuários, grupos,
membros dos grupos, senhas, contas de computadores, relações de confiança,
informações sobre o domínio, unidades organizacionais, etc, ficam armazenados no
banco de dados do AD.
Além de armazenar vários objetos em seu banco de dados, o AD disponibiliza vários
serviços, como: autenticação dos usuários, replicação do seu banco de dados, pesquisa
dos objetos disponíveis na rede, administração centralizada da segurança utilizando
GPO, entre outros serviços. Esses recursos tornam a administração do AD bem mais
fácil, sendo possível administrar todos os recursos disponíveis na rede
centralizadamente.
Para que os usuários possam acessar os recursos disponíveis na rede, estes deverão
efetuar o logon. Quando o usuário efetua logon, o AD verifica se as informações
fornecidas pelos usuários são válidas e faz a autenticação, caso essas informações sejam
válidas.
O AD é organizado de uma forma hierárquica, com o uso de domínios. Caso uma rede
utilize o AD, poderá conter vários domínios. Um domínio é nada mais do que um limite
administrativo e de segurança, ou seja, o administrador do domínio possui permissões
somente no domínio, e não em outros domínios. As políticas de segurança também se
aplicam somente ao domínio, e não a outros domínios. Resumindo: diferentes domínios
podem ter diferentes administradores e diferentes políticas de segurança.
1
2. Ao utilizar os domínios baseados no AD, temos os seguintes recursos:
• Logon único : com esse recurso, o usuário necessita fazer apenas um logon para
acessar os recursos em diversos servidores da rede, inclusive e-mail e banco de
dados.
• Conta de usuário única : os usuários possuem apenas um nome de usuário para
acessar os recursos da rede. As contas de usuários ficam armazenadas no banco
de dados do AD.
• Gerenciamento centralizado : com os domínios baseados no AD, temos uma
administração centralizada. Todas as informações sobre contas de usuários,
grupos e recursos da rede, podem ser administradas a partir de um único local no
domínio.
• Escalonabilidade : os domínios podem crescer a qualquer momento, sem limite
de tamanho. A forma de administração é a mesma para uma rede pequena ou
grande.
Figura 1 – Recursos de um Domínio baseado no AD
Nos domínios baseados no AD, podemos ter dois tipos de servidores:
• Controlador de Domínio (DC – Domain Controller) : é o computador que
possui o AD instalado, ou seja, é um servidor que possui uma cópia da base de
dados do AD. Em um mesmo domínio podemos ter mais de um Controlador de
Domínio. As alterações efetuadas em um DC são replicadas para todos os outros
DC’s. São os DC’s quem fazem a autenticação dos usuários de um domínio.
• Servidor Membro (Member Server) : é um servidor que não possui uma cópia
do AD, porém tem acesso aos objetos do AD. Não fazem a autenticação dos
usuários.
Os domínios do Windows 2000 podem estar nos seguintes modos:
• Native (Nativo) : utilizado em domínios que possuem somente Controladores de
Domínio (DC) Windows 2000.
2
3. • Mixed (Misto) : utilizado em domínios que possuem Controladores de Domínio
(DC) Windows 2000 e Windows NT.
Para a instalação do AD é necessário que o serviço DNS esteja disponível, ou seja, é um
pré-requisito para a instalação do AD. O AD utiliza o DNS para a nomeação de
servidores e recursos, e também para resolução de nomes. Caso o serviço DNS não
esteja disponível na rede durante a instalação do AD, poderemos instalá-lo durante a
instalação do AD.
Com a utilização de domínios, podemos fazer com que nossa rede reflita a estrutura de
uma empresa. Quando utilizamos vários domínios temos o conceito de relação de
confiança. A relação de confiança permite que os usuários de ambos os domínios
acessem os recursos localizados nesses domínios. No Windows 2000, as relações de
confianças são bidirecionais e transitivas, ou seja, se o domínio X confia no domínio Y,
e Y confia no domínio W, o domínio X também confia no domínio W.
Algumas características próprias de cada domínio:
• Um domínio armazena informações somente dos objetos do próprio domínio.
• Um domínio possui suas próprias diretivas de segurança.
Exemplo prático – Instalar o Active Directory.
Nesse exemplo instalaremos o AD em um servidor Windows 2000. Criaremos um novo
domínio e deixaremos que o assistente de instalação do AD configure o DNS
automaticamente. Lembre-se: para que o AD possa ser instalado corretamente, o serviço
DNS deve estar disponível na rede ou deveremos configurá-lo durante a instalação do
AD.
• Efetue logon em um servidor Windows 2000 com a conta Administrator
(Administrador);
• Selecione Start (Iniciar), Run (Executar) e digite dcpromo. Tecle Enter;
• Caso o Terminal Services esteja instalado nesse servidor, será exibida uma
mensagem informando que depois da instalação do AD, somente as contas de
usuários com a permissão de Administrador do domínio poderão fazer logon
remotamente utilizando o Terminal Services. Clique em OK;
• O Assistente de instalação do AD será aberto. Clique em Next (Avançar);
• Defina agora se o servidor fará parte de um novo domínio ou se o servidor fará
parte de um domínio já existente. Selecione a opção Domain controller for a new
domain (Controlador de domínio para um novo domínio) e clique em Next
(Avançar);
3
4. Figura 2 – Instalação do AD
• Na tela abaixo temos 2 opções:
o Create a new domain tree (Criar uma nova árvore de domínio):
selecionamos essa opção quando vamos criar o primeiro domínio (root)
de uma empresa.
o Create a new child domain in an existing domain tree (Criar um
novo domínio filho em uma árvore de domínio existente):
selecionamos essa opção quando vamos criar um novo domínio filho em
uma árvore de domínios já existente.
• Selecione a opção Create a new domain tree (Criar uma nova árvore de domínio)
e clique em Next (Avançar);
Figura 3 – Instalação do AD
• Defina agora se uma nova floresta será criada (Create a new forest of domain
trees) ou se o domínio que está sendo criado fará parte de uma floresta já
existente (Place this new domain tree in an existing forest). Selecione a opção
4
5. Create a new forest of domain trees (Criar uma nova floresta de árvores de
domínio) e clique em Next (Avançar);
Figura 4 – Instalação do AD
• Forneça o nome completo do domínio (FQDN) que será criado. Para nosso
exemplo, digite manual70-215.com e clique em Next (Avançar);
Figura 5 – Instalação do AD
• Defina agora o nome NETBIOS do domínio. O nome NETBIOS é utilizado por
questões de compatibilidade com clientes mais antigos. Digite MANUAL70-215
na tela abaixo e clique em Next (Avançar);
5
6. Figura 6 – Instalação do AD
• Defina agora o local onde serão gravadas as informações do AD, como arquivos
de log e base de dados do AD. É recomendado que a partição na qual esses
arquivos serão armazenados esteja formatado com o sistema de arquivos NTFS.
Aceite a configuração padrão e clique em Next (Avançar);
Figura 7 – Instalação do AD
• Defina o local onde a pasta SYSVOL será criada. Essa pasta contem
informações essênciais para o funcionamento do AD e implementação das
GPO’s. Essa pasta deve ser criada em uma partição formatada com o sistema de
arquivos NTFS. Aceite a configuração padrão e clique em Next (Avançar);
6
7. Figura 8 – Instalação do AD
• Como não temos o serviço DNS disponível na rede, será exibida uma mensagem
informando que o Assistente não localizou um servidor DNS. Clique em OK;
• Agora selecione a opção Yes, install and configure DNS on this computer (Sim,
instalar e configurar o DNS neste computador). Com isso o assistente irá instalar
e configurar o serviço DNS nesse servidor. Clique em Next (Avançar);
Figura 9 – Instalação do AD
• Defina agora o tipo de permissão padrão utilizada para os objetos usuários e
grupos. Existem 2 opções:
o Permissions compatible with pre-Windows 2000 Servers (Permissões
compatíveis com servidores anteriores ao Windows 2000): essa opção
deve ser selecionada quando existem servidores que rodem versões
anteriores ao Windows 2000, ou servidores Windows 2000 membros de
um domínio Windows NT. Com essa opção, o acesso anônimo será
permitido no servidor.
7
8. o Permissions compatible only with Windows 2000 Servers
(Permissões compatíveis somente com servidores Windows 2000):
essa opção deve ser selecionada quando todos os servidores rodarem
versões do Windows 2000 ou superior. Com essa opção, o acesso ao
servidor somente poderá ser feito por usuários autenticados.
• Selecione a opção Permissions compatible only with Windows 2000 Servers
(Permissões compatíveis somente com servidores Windows 2000) e clique em
Next (Avançar);
Figura 10 – Instalação do AD
• Defina agora a senha que será utilizada quando o servidor for inicializado no
modo de restauração do AD. Informe a senha 2 vezes e clique em Next
(Avançar);
Figura 11 – Instalação do AD
• Clique em Next (Avançar) novamente;
8
9. • Agora o assistente fará todas as configurações necessárias para que o AD seja
instalado e o domínio manual70-215.com seja criado. Durante esse processo, o
CD de instalação do Windows 2000 Server poderá ser solicitado. Caso seje,
insira o CD e clique em OK;
• Clique em Finish (Concluir).
Após a instalação do AD, algumas modificações são feitas no servidor onde o AD foi
instalado:
• O servidor é promovido a Domain Controller (Controlador de Domínio).
• A pasta NTDS é criada. Essa pasta armazena os arquivos de log do AD e a base
da dados do AD.
• A pasta SYSVOL é criada. Essa pasta contem informações essências para o
funcionamento do AD e implementação das GPO’s.
• Novos consoles para a administração do AD são criados:
o Active Directory Domains and Trusts (Domínios e confianças do
Active Directory) : nesse console administramos as relações de
confiança criadas entre os domínios, configuramos o nível de
funcionalidade do domínio e gerenciamos o sufixo utilizado pelas contas
de usuários.
o Active Directory Sites and Services (Sites e serviços do Active
Directory) : nesse console gerenciamos a replicação do Active
Directory.
o Active Directory Users and Computers (Usuários e computadores do
Active Directory) : nesse console administramos as contas e grupos de
usuários, unidades organizacionais e GPO’s.
o Domain Controller Security Policy (Diretiva de Segurança do
Controlador de Domínio) : nesse console configuramos as políticas de
segurança aplicadas nos Controladores de Domínio.
o Domain Security Policy (Diretiva de Segurança do Domínio) : nesse
console configuramos as políticas de segurança do domínio.
9
10. • Agora o assistente fará todas as configurações necessárias para que o AD seja
instalado e o domínio manual70-215.com seja criado. Durante esse processo, o
CD de instalação do Windows 2000 Server poderá ser solicitado. Caso seje,
insira o CD e clique em OK;
• Clique em Finish (Concluir).
Após a instalação do AD, algumas modificações são feitas no servidor onde o AD foi
instalado:
• O servidor é promovido a Domain Controller (Controlador de Domínio).
• A pasta NTDS é criada. Essa pasta armazena os arquivos de log do AD e a base
da dados do AD.
• A pasta SYSVOL é criada. Essa pasta contem informações essências para o
funcionamento do AD e implementação das GPO’s.
• Novos consoles para a administração do AD são criados:
o Active Directory Domains and Trusts (Domínios e confianças do
Active Directory) : nesse console administramos as relações de
confiança criadas entre os domínios, configuramos o nível de
funcionalidade do domínio e gerenciamos o sufixo utilizado pelas contas
de usuários.
o Active Directory Sites and Services (Sites e serviços do Active
Directory) : nesse console gerenciamos a replicação do Active
Directory.
o Active Directory Users and Computers (Usuários e computadores do
Active Directory) : nesse console administramos as contas e grupos de
usuários, unidades organizacionais e GPO’s.
o Domain Controller Security Policy (Diretiva de Segurança do
Controlador de Domínio) : nesse console configuramos as políticas de
segurança aplicadas nos Controladores de Domínio.
o Domain Security Policy (Diretiva de Segurança do Domínio) : nesse
console configuramos as políticas de segurança do domínio.
9
11. • Agora o assistente fará todas as configurações necessárias para que o AD seja
instalado e o domínio manual70-215.com seja criado. Durante esse processo, o
CD de instalação do Windows 2000 Server poderá ser solicitado. Caso seje,
insira o CD e clique em OK;
• Clique em Finish (Concluir).
Após a instalação do AD, algumas modificações são feitas no servidor onde o AD foi
instalado:
• O servidor é promovido a Domain Controller (Controlador de Domínio).
• A pasta NTDS é criada. Essa pasta armazena os arquivos de log do AD e a base
da dados do AD.
• A pasta SYSVOL é criada. Essa pasta contem informações essências para o
funcionamento do AD e implementação das GPO’s.
• Novos consoles para a administração do AD são criados:
o Active Directory Domains and Trusts (Domínios e confianças do
Active Directory) : nesse console administramos as relações de
confiança criadas entre os domínios, configuramos o nível de
funcionalidade do domínio e gerenciamos o sufixo utilizado pelas contas
de usuários.
o Active Directory Sites and Services (Sites e serviços do Active
Directory) : nesse console gerenciamos a replicação do Active
Directory.
o Active Directory Users and Computers (Usuários e computadores do
Active Directory) : nesse console administramos as contas e grupos de
usuários, unidades organizacionais e GPO’s.
o Domain Controller Security Policy (Diretiva de Segurança do
Controlador de Domínio) : nesse console configuramos as políticas de
segurança aplicadas nos Controladores de Domínio.
o Domain Security Policy (Diretiva de Segurança do Domínio) : nesse
console configuramos as políticas de segurança do domínio.
9