1. AD - parte II
Prof. Pedro Clarindo da Silva Neto
2. Mas antes, alguns conceitos
necessários para
entendimento...
Prof. Pedro Clarindo da Silva Neto
3. Domínio
Tanto o DNS quanto o AD usam o termo
“domínio”, mas essas duas entidades são
diferentes e é fácil confundi-las. Um domínio
no DNS é uma coleção de registros de
recurso que descreve os hosts e serviços
dentro daquele domínio. Já um domínio no AD
se refere à forma pela qual os objetos no AD
são particionados.
Prof. Pedro Clarindo da Silva Neto
4. Domínio
Cada domínio do AD exige um domínio
correspondente no DNS porque o DNS é
usado como serviço de localização no AD. É
preciso registrar os serviços do AD e os
computadores de um domínio específico do AD
no domínio correspondente do DNS para que
os clientes do AD possam localizar esses
serviços e computadores fazendo consultas
ao DNS.
Prof. Pedro Clarindo da Silva Neto
7. FQDN - Nome de Domínio Totalmente
Qualificado
É todo o caminho que leva a um objeto na rede.
Ex: server1 está localizado no domínio oeste
de uma árvore chamada corp.com. O FQDN do
servidor é:
server1.oeste.corp.com
Em outro exemplo, uma impressora localizada na
mesma árvore do mesmo domínio tem o seguinte
FQDN:
print1.oeste.corp.com
Prof. Pedro Clarindo da Silva Neto
8. FQDN - Nome de Domínio Totalmente
Qualificado
Usando o FQDN, sempre será possível
identificar a localização exata de um objeto
no espaço nominal do DNS. Olhando para o
servidor1 é possível saber que ele está no
domínio oeste.corp.com devido ao seu FQDN.
C o n t u d o , u m F Q D N n ã o c o n t é m
necesariamente todas as informações que
mostram onde o objeto se localiza no AD.
Prof. Pedro Clarindo da Silva Neto
9. Nome Distinto
Todo objeto de uma floresta do AD tem um
nome distinto, isto é, uma convenção de
nomenclatura baseada no X.500 que indica
como os objetos são encontrados no diretório
por meio do LDAP. Os nomes distintos usam
algumas abreviações como:
DC: componente de domínio
OU: unidade organizacional
CN: Nome comum
Prof. Pedro Clarindo da Silva Neto
10. Nome Distinto
Essas abreviações são combinadas em uma
ordem específica, da esquerda para direita,
para descrever o caminho exato que leva a
um objeto. O nome comum do objeto
especificado vem primeiro, seguido pelas
unidades organizacionais (caso existam) e,
por fim, dos nomes dos componentes de
dominio.
Prof. Pedro Clarindo da Silva Neto
11. Nome Distinto
Ex:
CN=server1, DC=oeste, DC=corp, DC=com
CN=print1, OU=printers, DC=oeste, DC=corp,
DC=com
É possível observar que o nome distinto de
print1 não está plenamente de acordo com o
FQDN print1, isso porque print1 está na
unidade organizacional printers. Embora o
FQDN permita saber onde o objeto está
localizado no espaço nominal do DNS, o nome
do domínio descreve totalmente onde o objeto
se localiza dentro do espaço nominal do AD.
Prof. Pedro Clarindo da Silva Neto
13. Unidade Organizacional -
OU
Divisão lógica do domínio;
Utilizada para organizar objetos em um
domínio para agrupá-los de forma a facilitar
a administração do AD.
As unidades organizacionais são recipientes
do Active Directory nos quais você pode
inserir usuários, grupos, computadores e
outras unidades organizacionais. Uma
unidade organizacional não pode conter
objetos de outros domínios.
Prof. Pedro Clarindo da Silva Neto
14. Unidade Organizacional -
OU
É o menor escopo ou unidade à qual você
pode atribuir configurações de Diretiva de
G r u p o o u d e l e g a r a u t o r i d a d e
a dministrativa. A o u sar uni da de s
o rgan izacio nais, vo cê po de cr iar
re c ip i e nte s e m u m d o m í n i o q u e
representam as estruturas hierárquicas e
lógicas em sua organização.
Prof. Pedro Clarindo da Silva Neto
16. Unidade Organizacional -
OU
As unidades organizacionais podem conter
outras unidades organizacionais. Uma
hierarquia de recipientes pode ser
estendida conforme for necessário para
modelar a hierarquia de sua organização
em um domínio. O uso das unidades
organizacionais vai ajudá-lo a minimizar o
número de domínios necessários para a
sua rede.
Prof. Pedro Clarindo da Silva Neto
17. Unidade Organizacional -
OU
As OUs podem controlar os seguintes itens:
Usuários
Grupos
Impressoras
Computadores
Compartilhamento de arquivos na rede
OUs aninhadas
Prof. Pedro Clarindo da Silva Neto
20. Sites
O AD é um serviço de diretório que comporta
objetos. Alguns desses objetos representam
itens abstratos, como domínios e UOs.
Contudo, um conjunto de objetos no AD
corresponde ao ambiente físico do serviço de
diretório. Mesmo em uma topologia estrela,
onde alguns ou todos os links que compõe a
rede são muito utilizados, você ainda poderá
implementar um só domínio e controlar como
o AD usa esses links.
Prof. Pedro Clarindo da Silva Neto
21. Sites
Mesmo que os lados físicos e lógicos estejam
separados, ainda será preciso entender como
eles se encaixam, porque eles ainda poderão
a f e ta r y m a o o ut r o e m a l g u m a s
circunstâncias.
Prof. Pedro Clarindo da Silva Neto
22. Sites
Um site do AD é um objeto que representa
um agrupamento de uma ou mais sub-redes
TCP/IP bem conectadas e que aceitem
chamadas de procedimento remoto (RPC)
entre elas. A alocação do controlador de
domínio em um site faz parte do processo de
promoção desse controlador. Também é
possível alocar manualmente os controladores
em outros sites, caso haja necessidade. Links
de rede que não suportam RPCs geralmente
são links analógicos Dial-up e ISDN.
Atualmente, a maioria dos links suportam
RPC.
Prof. Pedro Clarindo da Silva Neto
23. Sites
Cada controlador de domínio deverá estar em
um site do AD. Assim, o primeiro passo é
descobrir as sub-redes às quais os
controladores de domínio estão conectados.
Em seguida, determine as sub-redes
conectadas a cada uma dessas sub-redes na
LAN local. Esse agrupamento de sub-redes
representa um site do AD. Se houverem
controladores de domínio em vários locais
separados por uma WAN, este processo
deverá gerar múltiplos sites no AD.
Prof. Pedro Clarindo da Silva Neto
24. Sites
Prof. Pedro Clarindo da Silva Neto
roteador
roteador
controlador
de
domínio
controlador
de
domínio
link WAN (512kbps)
25. Sites
A imagem ilustra duas LANs separados por
um link WAN. Em cada LAN existe uma rede
bem conectada, com velocidade de 10Mbps
ou mais, mas a conexão WAN existente entre
as LANs é mais lenta. Dessa forma pode-se
criar uma fronteira de site do AD ao redor
de cada LAN (site A e siteB).
Prof. Pedro Clarindo da Silva Neto
27. Group Policy - GPO
Segun do Robso n Bran dão: A Gro up
Policy(GPO), é capaz de mudar configurações,
restringir ações ou até mesmo distribuir
aplicações em seu ambiente de rede. As
vantagens são muitas, e podem ser aplicadas
em sites, domínios e organizational
units(OUs). Se você criou uma OU para cada
departamento da sua empresa, poderá então,
fazer diferentes configurações de GPO para
cada departamento.
Prof. Pedro Clarindo da Silva Neto
28. Group Policy - GPO
Quando falamos sobre GPO (Group Policy Object)
devemos pensar em diretiva de grupo. Diretiva de
grupo é um conjunto de regras que podemos
utilizar a fim de facilitar o gerenciamento,
configuração e segurança de computadores e
usuários. As regras das diretivas de grupo se
aplicam a usuários e computadores. A GPO com
as regras (para usuários e computadores) podem
ser aplicadas (vinculadas) no:
! Site
! Domínio
! OU
Prof. Pedro Clarindo da Silva Neto
29. Group Policy - GPO
Definindo assim a Hierarquia das GPOs onde:
Sites: O mais alto nível. Todas as configurações
feitas no site serão aplicadas a todos os
usuários/computadores/domínios nesse site.
Domínios: É o segundo nível. Configurações feitas
aqui afetarão todos os usuários/computadores
dentro do domínio.
OUs: O que se aplica nas OUs afetarão todos os
usuários/computadores dentro dela. A ferramenta
para trabalhar no gerenciamento de politica de
grupo (GPO) é o Snap-in “Group Policy
Management”.
Prof. Pedro Clarindo da Silva Neto
31. Group Policy - GPO
As diretivas são cumulativas, assim um
co m p uta d o r/u s u á r i o p o d e re ce b e r
configurações que vieram do Site, domínio e
também da OU no qual ele pertence.
Prof. Pedro Clarindo da Silva Neto
32. Group Policy - GPO
Na imagem, se houver um computador/usuários em
qualquer OU este receberá a GPO1, depois a GPO2,
depois a GPO3 e por ultimo a GPO4.
Caso as diretivas sejam conflitantes elas serão
sobrescritas pelas diretivas aplicadas por ultimo.
Vamos entender:
GPO1 – Acesso ao Painel de Controle – Disabled
GPO2 – Acesso ao Painel de Controle – Enabled
GPO3 – Acesso ao Painel de Controle – Disabled
GPO4 – Acesso ao Painel de Controle – Enabled
A ultima GPO aplicada foi a GPO4 por isso ela tem
preferencia ou como alguns gostam de falar A GPO4
“Ganha”.
Prof. Pedro Clarindo da Silva Neto