1. Profissional 5 estrelas
Windows Server 2008 Active Directory, configuration
1ª Estrela
Helio Panissa Jr
MCP Brasil.com
Microsoft MVP
helio.panissa@mcpbrasil.com
3. Visão geral do AD DS
• O que é um serviço de diretórios?
• O que é o AD DS?
• Como o AD DS funciona?
• Componentes da estrutura lógica do AD DS
• Componentes da estrutura física do AD DS
• Ferramentas de gerenciamento do AD DS
4. O que é um serviço de diretório?
O serviço de diretório é o repositório de informações sobre
objetos da rede e também o serviço que permite que essa
informação seja utilizada.
Gerenciamento centralizado Gerenciamento distribuído
5. O que é o AD DS?
• O Active Directory Domain Services oferece:
– Gerenciamento de contas de usuário
– Autenticação de usuários
– Gerenciamento de contas de Computador
– Acesso a recursos de rede
– Serviços de domínio
6. Componentes do Active
Directory
Componentes físicos Componentes lógicos
• Data Store • Partições
• Controladores de domínio • Schema
• Global Catalog Server • Domínios
• Read-Only Domain Controller • Árvores de domínio
• Florestas
• Sites
• Unidades Organizacionais (Ous)
7. Estrutura lógica
• O que é o Schema do Active Directory?
• O que é um domínio?
• O que são relacionamentos AD DS?
• O que é uma árvore de domínio?
• O que é uma floresta?
• O que é uma OU?
8. O que é o schema do Active
Directory?
Define cada tipo de objeto que pode ser armazenado no
Active Directory.
Tipo de objeto Função Exemplo
Classe Define quais novos • Classe usuário
objetos podem ser • Classe
criados no diretório computador
Atributo Define quais • Username
informações podem • Display Name
ser armazenadas • Department
para cada objeto
9. O que é um domínio?
Domínios são componentes lógicos do serviço de diretório
que agrupam e gerenciam objetos do AD.
Um domínio provê:
• Um escopo administrativo, para a aplicação de diretivas e
administração de objetos.
• Um escopo de autenticação e autorização que provê uma
maneira de limitar o acesso a recursos.
• Um escopo de replicação, para replicar dados entre
controladores de domínio.
10. O que são relacionamentos do
AD DS?
Um relacionamento de confiança é um mecanismo que permite que
usuários acessem recursos de outros domínios.
Relacionamento Descrição Diagrama
Direcional O fluxo vai do domínio
confiado para o domínio
confiante
Trust
Transitivo O relacionamento de
confiança é estendido
para outros domínios
11. O que é uma árvore do AD DS?
Uma árvore representa uma hierarquia do serviço de diretório.
Todos os domínio da árvore:
• Possuem um nome contíguo.
• Podem ter domínios filhos.
• Possuem um relacionamento de confiança transitivo bi-direcional.
Exemplo:
mcpbrasil.local
sp.mcpbrasil.local rj.mcpbrasil.local
12. O que é uma floresta?
Uma floresta é um conjunto de uma ou mais árvores.
As florestas:
• Compartilham um schema e partição de configuração comuns
• Compartilham um catálogo global comum
• Compartilham o grupo Enterprise Admins e Schema Admins
Exemplo:
mcpbrasil.local technetlocal
sp.mcpbrasil.local rj.mcpbrasil.local sp.technetlocal rj.techenet.local
13. O que é uma OU?
É um objeto container do serviço de diretório que podem conter outros
objetos como usuários ou computadores.
As OUs:
• Facilitam a organização dos objetos no serviço de diretório
• São utilizadas para delegação de permissões
• São utilizadas para a aplicação de diretivas
14. Estrutura física
• O que são controladores de domínio?
• O que são global catalog servers?
• O que é o AD DS Data Store?
• O que é a replicação do AD?
• O que são sites?
15. O que são controladores de
domínio?
É um computador executando o Windows Server 2008 com o papel AD
DS instalado.
Os controladores de domínio:
• Mantém uma cópia da base de dados do serviço de diretórios
• São responsáveis pela autenticação de usuários
• Replicam atualizações para outros controladores de domínio
• Permitem acesso administrativo a objetos do AD
16. O que são Global Catalog
Servers?
São controladores de domínio que mantém uma cópia do catálogo
global
O catálogo global:
• Contém apenas alguns atributos dos objetos do Active Directory
• Utilizado para aumentar a eficiência de buscas no AD
• Obrigatório para que os usuários possam efetuar logon
17. O que é o AD DS Data Store?
É o conjunto de arquivos que compõe a base de dados do Active
Directory, armazenando informações de usuários, grupos e recursos.
O AD DS Data Store:
• Fica na pasta %SystemRoot%NTDS
• Arquivo ntds.dit
• Arquivos de log
18. O que é a replicação do AD?
Responsável pela cópia de todas as informações entre os
controladores de domínio da floresta
A replicação:
• Assegura a consistência das informações entre todos os
controladores de domínio
• Utiliza um modelo de replicação multi-master
• Pode ser gerenciada utilizando sites do AD
mcpbrasil.local
sp.mcpbrasil.local rj.mcpbrasil.local
19. O que são sites?
Representam a estrutura física do Active Directory
Os sites:
• Permitem o controle do fluxo de replicação
• Minimizam a utilização de banda
• Associados a uma ou mais subnets IP
mcpbrasil.local
Default-First-SiteName
192.168.1.0
192.168.2.0 sp.mcpbrasil.local rj.mcpbrasil.local
192.168.3.0
192.168.4.0
20. Como funciona o AD DS?
1. Os objetos representando usuários e computadores são
criados no diretório
2. Um cliente usa uma conta de usuário para autenticar-se no
serviço de diretório
3. O usuário acessa recursos de rede
4. Os recursos de rede validam as permissões de acesso
21. Visão geral do AD LDS
• O que é o LDAP?
• O que é o AD LDS?
• Exemplos de utilização
22. O que é o LDAP?
• O Ligthweight Directory Access Protocol:
– Protocolo de serviços de diretório
– Baseado no TCP/IP
– Utilizado para:
• Acessar
• Modificar
• Buscar
23. O que é o AD LDS?
• Active Directory Lightweight Directory
Services:
– Serviço baseado em LDAP
– Usado para aplicações
• Características
– Pode executar múltiplas instâncias em único
computador
– Não requer infra-estrutura de DNS
– Pode ser modificado de acordo a aplicação
24. Exemplos de utilização
• Autenticação Web
• Otimização de segurança de log on para
aplicações
• Armazenamento de configurações de
aplicações
– Exemplo: Edge Server (Microsoft Exchange)
25. Visão geral do AD CS
• O que é PKI?
• Exemplos de utilização de certificados
digitais
• O que é o AD CS?
• Exemplos de implementação
• Como funciona?
26. O que é PKI?
Uma PKI representa os serviços e componentes
necessários para gerar, gerenciar e distribuir certificados
digitais.
Componentes
Certificate Authorities (CA)
Certificate Revocation Lists (CRL)
Ferramentas de gerenciamento
Certificados Digitais
27. Exemplos de utilização de
certificados digitais
• Acesso seguro a aplicações (Ex. Home
Banking)
• Identificação de usuários
• Autenticação
28. O que é o AD CS?
• Active Directory Certificate Services:
– Implementação da Microsoft do CA
• Provê:
– Funcionalidades de Certificate Authority
– Geração manual e automatizada de certificados
digitais
– Revogação de certificados
29. Como o AD CS Funciona?
CA
Auto-Enrollment:
1. O usuário ou computador são autenticados no AD DS
2. O CA obtém as diretivas de certificado do AD DS
3. Caso existam diretivas e permissões, um certificado é gerado
para o usuário
30. Como o AD CS Funciona? (Cont)
CA
Manual-Enrollment:
1. O usuário acessa a interface e solicita um certificado
2. O certificado é gerado
3. E instalado no computador cliente
31. Visão geral do AD RMS
• O que é o AD RMS?
• Exemplos de implementação
32. O que é o AD RMS?
• Active Directory Rights Management Server
– Solução para proteger informações armazenadas
em documentos, mensagens de correio
eletrônico e web sites
• Funcionalidades
– Ajuda a proteger informação sensível
– Proteger conteúdo
– Controle de expiração de dados
33. Exemplos de implementação
• Implementar o AD RMS para:
– Que o gerador da informações crie diretivas de
acesso a informação
– Documentos
– Mensagens de correio eletrônico
34. Visão geral do AD FS
• O que é o AD FS?
• Fluxo de dados em um cenário B2B
• Como funciona?
35. O que é o AD FS?
• Permite a criação de relacionamentos de
confiança entre duas organizações
• Provê acesso para aplicações entre
organizações
• Provê SSO (Single Sign-On) entre dois
diretórios diferentes para aplicações
baseadas em web
37. Como funciona o AD FS?
1. O usuário acessa uma aplicação web em outra organização
2. A aplicação redireciona a autenticação para o servidor AD FS
3. O parceiro de recursos do AD FS responde ao cliente
indicando que ele pode obter um token de segurança no
servidor AD FS no parceiro de contas
4. O cliente solicita o token
5. O cliente acessa a aplicação
38. Resumo Final
• AD DS
– Infra-estrutura de serviços de diretório
• AD LDS
– Solução de diretório baseada em LDAP
• AD CS
– Infra-estrutura de chaves públicas
• AD RMS
– Gerenciamento de direitos
• AD FS
– Acesso federado a recursos
40. Para mais
informações…
• Visite (e cadastra-se)TechNet Brasil
– http://www.microsoft.com/brasil/technet/
• Artigos técnicos traduzidos para o português
• Fórum de discussão
• Relacionamento com outros profissionais de TI
• Relacionamento com funcionários Microsoft