Active Directory - Instalação e Configuração

Prévia do material em texto

Windows - Active Directory
Instalação, características e configuração Instalação, características e configuração 
do Active Directorydo Active Directory
Windows - Estrutura de domínios AD
Windows - 
FlorestaFloresta – – É É o topo da estrutura, uma floresta pode contar uma ou mais o topo da estrutura, uma floresta pode contar uma ou mais 
árvores que compartilham informações de diretório.árvores que compartilham informações de diretório.
ÁrvoresÁrvores – Uma árvore pode conter um ou mais domínios que compartilham – Uma árvore pode conter um ou mais domínios que compartilham 
espaço de nomes.espaço de nomes.
DomínioDomínio – Um grupo de computadores que compartilham um banco de – Um grupo de computadores que compartilham um banco de 
dados de diretório.dados de diretório.
Unidades Organizacionais (OU)Unidades Organizacionais (OU) – Um subgrupo dos domínios que – Um subgrupo dos domínios que 
geralmente espelha a estrutura funcional ou de negócios da organização.geralmente espelha a estrutura funcional ou de negócios da organização.
Catálogo Global (GC)Catálogo Global (GC) – Contém informações sobre objetos e recursos de – Contém informações sobre objetos e recursos de 
toda a floresta.toda a floresta.
Esquema (Schema)Esquema (Schema) – Contém definições de objetos e seus atributos da – Contém definições de objetos e seus atributos da 
floresta Active Directory.floresta Active Directory.
Estrutura do AD
Windows - Recursos do Active Directory
● Utilização do LDAP como protocolo de acesso ao diretório (v2 e v3);Utilização do LDAP como protocolo de acesso ao diretório (v2 e v3);
● Autenticação utilizando o protocolo Kerberos;Autenticação utilizando o protocolo Kerberos;
● Single sign-on, autenticação única;Single sign-on, autenticação única;
● Nomes baseados na estrutura DNS;Nomes baseados na estrutura DNS;
● Centralização de administração e segurança da rede;Centralização de administração e segurança da rede;
● Altamente escalável;Altamente escalável;
● Sincronização de informações entre servidores;Sincronização de informações entre servidores;
Windows - Instalando o Active Directory
A implementação do serviço começa utilizando 
o comando dcpromo.
Windows - Instalação do Active Directory
Opções:Opções:
– Criar um novo domínio em uma nova floresta;Criar um novo domínio em uma nova floresta;
– Adicionar um controlador de domínio em um domínio existente;Adicionar um controlador de domínio em um domínio existente;
– Criar um novo domínio em uma floresta existente;Criar um novo domínio em uma floresta existente;
Windows - Nível funcional da floresta
São 3 níveis funcionais de floresta:
– Windows 2000 – Dá suporte a servidores Windows NT 4.0, exceto quando utilizando servidores 2008 na 
floresta;
– Windows Server 2003;
– Windows Server 2008;
Ao ser escolhido o nível funcional da floresta ou domínio, ela suportará versões do sistema escolhido ou posteriores;
Windows - Nível funcional do domínio
Os possíveis níveis funcionais de domínios são:
– Windows 2000 misto – Utilizado para trabalhar junto a controladores de 
domínio NT 4.0;
– Windows 2000 nativo – Não opera junto a controladores de domínio NT 
4.0;
– Windows 2003 – Permite uso de várias melhorias no Active directory 
como grupos universais, aninhamento de grupos, conversão de tipos 
de grupos, renomeação fácil de controladores de domínio;
– Windows 2008;
Obs.: Ao se escolher um nível funcional, ele nunca poderá ser reduzido; 
Windows - Funções de mestres de operações - FSMO
Em cada floresta existem pelo menos cinco funções de mestres de operações onde:
– Para toda a floresta:
• Mestre de esquema - O controlador de domínio de mestre de esquema 
controla todas as atualizações e modificações efetuadas ao esquema. 
Para atualizar o esquema de uma floresta, tem de aceder ao mestre de 
esquema. 
• Mestre de nomeação de domínios - O controlador de domínio que contém 
a função de mestre de atribuição de nomes de domínios, controla a adição 
ou remoção de domínios na floresta. Um computador com esta função 
deve ser também um servidor de catálogo global.
– Para um domínio:
• PDC Emulator – Irá agir como PDC do Windows NT. Sua função é autenticar 
logons, processar alterações de senhas e replicar atualizações para BDCs.
• Mestre de RIDs - O mestre de RID atribui sequências de IDs relativos (RIDs) 
a cada um dos vários controladores de domínio no respectivo domínio. 
Apenas poderá existir um controlador de domínio a funcionar como mestre 
de RID em cada domínio da floresta de cada vez.
• Mestre de infra-estrutura – Atualiza referências de objeto comparando seus 
dados de diretório com os de um catálogo global. Se os dados estiverem 
desatualizados, o mestre de infra-estrutura solicitará os dados atualizados 
em um catálogo global e, em seguida, replicará as alterações nos outros 
controladores de domínio do domínio.
Windows - Verificando as funções de mestre de operações
Mestre de esquema – dsquery server -hasfsmo schema
Mestre de nomeação de domínios - dsquery server -hasfsmo name
Mestre de RID - dsquery server -hasfsmo rid
Emulador PDC - dsquery server -hasfsmo pdc
Mestre de infra-estrutura - dsquery server -hasfsmo infr
Windows - Relações de confiança
● Tipos de relação de confiança
– A comunicação entre domínios ocorre por relações de confiança. As 
relações de confiança são canais de autenticação que devem estar 
presentes para que os usuários em um domínio acessem recursos 
em outro domínio. 
● Duas relações de confiança padrão são criadas quando se usa o Assistente 
para instalação do Active Directory e estão na tabela a seguir:
Windows - Tipos de relação de confiança padrão
Tipo Transitividade Direção Descrição
Pai e 
filho
Transitiva Bidirecional Por padrão, quando um novo domínio filho é adicionado a uma árvore de domínio 
existente, uma nova relação de confiança é criada automaticamente entre o 
domínio filho e o domínio pai. As solicitações de autenticação feitas a partir de 
domínios subordinados fluem em direção ascendente pelo pai para o domínio 
confiante.
Raiz de 
árvore
Transitiva Bidirecional Por padrão, quando uma nova árvore de domínio é criada em uma floresta 
existente, uma nova relação de confiança de raiz de árvore é estabelecida. Para 
obter informações sobre como criar uma nova árvore de domínio, consulte Criar 
uma nova árvore de domínio.
Windows - Outras relações de confiança
● Quatro outros tipos de relações de confiança podem ser criados usando o Assistente de nova Quatro outros tipos de relações de confiança podem ser criados usando o Assistente de nova 
relação de confiança ou a ferramenta de linha de comando Netdom: relações de confiança relação de confiança ou a ferramenta de linha de comando Netdom: relações de confiança 
externas, de território, de floresta e de atalho.externas, de território, de floresta e de atalho.
● Essas relações de confiança estão definidas na tabela a seguir:Essas relações de confiança estão definidas na tabela a seguir:
TipoTipo TransitividadeTransitividade DireçãoDireção DescriçãoDescrição
ExternaExterna IntransitivaIntransitiva Unidirecional Unidirecional 
ou ou 
BidirecionalBidirecional
Use relações de confiança externas para fornecer acesso a recursos localizados Use relações de confiança externas para fornecer acesso a recursos localizados 
em um domínio do Windows NT 4.0 ou em um domínio localizado em uma em um domínio do Windows NT 4.0 ou em um domínio localizado em uma 
floresta separada, que não sejam unidos por uma relação de confiança de floresta separada, que não sejam unidos por uma relação de confiança de 
floresta.floresta.
TerritórioTerritório Transitiva ou Transitiva ou 
intransitivaintransitiva
Unidirecional Unidirecional 
ou ou 
BidirecionalBidirecional
Use relações de confiança de território para formar uma relação de confiança Use relações de confiança de território para formar uma relação de confiança 
entre um território Kerberos não-Windows e um domínio do Windows Server entre um territórioKerberos não-Windows e um domínio do Windows Server 
2003.2003.
FlorestaFloresta TransitivaTransitiva Unidirecional Unidirecional 
ou ou 
BidirecionalBidirecional
Use relações de confiança de floresta para compartilhar recursos entre florestas. Use relações de confiança de floresta para compartilhar recursos entre florestas. 
Se uma relação de confiança de floresta é uma relação de confiança Se uma relação de confiança de floresta é uma relação de confiança 
bidirecional, as solicitações de autenticação feitas em qualquer das florestas bidirecional, as solicitações de autenticação feitas em qualquer das florestas 
podem alcançar a outra floresta.podem alcançar a outra floresta.
AtalhoAtalho TransitivaTransitiva Unidirecional Unidirecional 
ou ou 
BidirecionalBidirecional
Use relações de confiança de atalho para melhorar o logon do usuário entre dois Use relações de confiança de atalho para melhorar o logon do usuário entre dois 
domínios em uma floresta do Windows Server 2003. Isso é útil quando dois domínios em uma floresta do Windows Server 2003. Isso é útil quando dois 
domínios estão separados por duas árvores de domínio.domínios estão separados por duas árvores de domínio.
Windows - Transitividade de relações de confiança
A transitividade determina se uma relação de confiança pode ser estendida para fora dos dois 
domínios com os quais foi formada. Uma relação de confiança transitiva pode ser usada para 
estender relacionamentos de confiança com outros domínios e uma relação de confiança intransitiva 
pode ser usada para negar relações de confiança com outros domínios. 
Relações de confiança transitivas
● Sempre que você cria um novo domínio em uma floresta, uma relação de confiança transitiva 
bidirecional é criada automaticamente entre o novo domínio e seu domínio pai. Se domínios filho 
forem adicionados ao novo domínio, o caminho de confiança move-se para cima pela hierarquia 
de domínio, estendendo o caminho de confiança inicial criado entre o novo domínio e seu domínio 
pai.
● As relações de confiança transitivas movem-se para cima na árvore de domínio conforme ela é 
formada, criando relações de confiança transitivas entre todos os domínios na árvore de domínio.
● Os pedidos de autenticação seguem esses caminhos de confiança, de forma que as contas de 
um domínio da floresta podem ser autenticadas em qualquer outro domínio da mesma floresta. 
Com um único processo de logon, as contas que contêm as permissões adequadas podem 
acessar recursos em qualquer domínio na floresta.
Windows - Relações de confiança transitivas
Além das relações de confiança transitivas padrão estabeIecidas em uma floresta do Windows Server 2003, Além das relações de confiança transitivas padrão estabeIecidas em uma floresta do Windows Server 2003, 
usando o Assistente de nova relação de confiança você pode criar manualmente as seguintes relações de usando o Assistente de nova relação de confiança você pode criar manualmente as seguintes relações de 
confiança transitiva. confiança transitiva. 
Relação de confiança de atalho:Relação de confiança de atalho: Uma relação de confiança transitiva entre um domínio na mesma árvore Uma relação de confiança transitiva entre um domínio na mesma árvore 
de domínio ou floresta, usada para diminuir o caminho de confiança em árvores de domínio e florestas de domínio ou floresta, usada para diminuir o caminho de confiança em árvores de domínio e florestas 
grandes e complexas.grandes e complexas.
Relação de confiança de floresta:Relação de confiança de floresta: Uma relação de confiança transitiva entre um domínio raiz de floresta e Uma relação de confiança transitiva entre um domínio raiz de floresta e 
um segundo domínio raiz de floresta.um segundo domínio raiz de floresta.
Relação de confiança de território:Relação de confiança de território: Uma relação de confiança transitiva entre um domínio do Active Uma relação de confiança transitiva entre um domínio do Active 
Directory e um território do Kerberos V5.Directory e um território do Kerberos V5.
Windows - Relações de confiança intransitivas
Uma relação de confiança intransitiva é limitada pelos dois domínios da relação de confiança e não flui para Uma relação de confiança intransitiva é limitada pelos dois domínios da relação de confiança e não flui para 
outros domínios da floresta. Uma relação de confiança intransitiva pode ser uma relação de confiança outros domínios da floresta. Uma relação de confiança intransitiva pode ser uma relação de confiança 
bidirecional ou uma relação de confiança unidirecional.bidirecional ou uma relação de confiança unidirecional.
As relações de confiança intransitivas são unidirecionais por padrãoAs relações de confiança intransitivas são unidirecionais por padrão, embora você também possa criar , embora você também possa criar 
uma relação bidirecional através da criação de duas relações de confiança unidirecionais. Resumindo, as uma relação bidirecional através da criação de duas relações de confiança unidirecionais. Resumindo, as 
relações de confiança intransitivas entre domínios são a única forma possível de relação de confiança entre:relações de confiança intransitivas entre domínios são a única forma possível de relação de confiança entre:
 Um domínio do Windows Server 2003 e um domínio do Windows NTUm domínio do Windows Server 2003 e um domínio do Windows NT
 Um domínio do Windows Server 2003 em uma floresta e um domínio em outra floresta (quando não Um domínio do Windows Server 2003 em uma floresta e um domínio em outra floresta (quando não 
associados por uma relação de confiança de floresta)associados por uma relação de confiança de floresta)
Usando o Assistente de nova relação de confiança, você cria manualmente as seguintes relações de Usando o Assistente de nova relação de confiança, você cria manualmente as seguintes relações de 
confiança intransitivas:confiança intransitivas:
 Relação de confiança externaRelação de confiança externa. Uma relação de confiança intransitiva criada entre um domínio do . Uma relação de confiança intransitiva criada entre um domínio do 
Windows Server 2003 e um domínio do Windows 2000 ou um domínio do Windows Server 2003 em outra Windows Server 2003 e um domínio do Windows 2000 ou um domínio do Windows Server 2003 em outra 
floresta.floresta.
 Quando você atualizar um domínio do Windows NT para um domínio do Windows Server 2003, todas as Quando você atualizar um domínio do Windows NT para um domínio do Windows Server 2003, todas as 
relações de confiança existentes do Windows NT serão preservadas. Todas as relação entre os domínios do relações de confiança existentes do Windows NT serão preservadas. Todas as relação entre os domínios do 
Windows Server 2003 e do Windows NT são não-transitivas.Windows Server 2003 e do Windows NT são não-transitivas.
 Relação de confiança de territórioRelação de confiança de território. Uma relação de confiança intransitiva entre um domínio do Active . Uma relação de confiança intransitiva entre um domínio do Active 
Directory e um território do Kerberos V5..Directory e um território do Kerberos V5..
Windows - Direção da relação de confiança
O tipo de relação de confiança e a direção atribuída terão impacto sobre o caminho de confiança usado para autenticação. Um O tipo de relação de confiança e a direção atribuída terão impacto sobre o caminho de confiança usado para autenticação. Um 
caminho de confiança é uma série de relações de confiança que os pedidos de autenticação devem seguir entre os domínios. caminho de confiança é uma série de relações de confiança que os pedidos de autenticação devem seguir entre os domínios. 
Para que um usuário possa acessar um recurso de outro domínio, o sistema de segurança em controladores de domínio Para que um usuário possa acessar um recurso de outro domínio, o sistema de segurança em controladores de domínio 
executando Windows Server 2003 deve determinar se o domínio confiante (aquele que contém o recursoque o usuário está executando Windows Server 2003 deve determinar se o domínio confiante (aquele que contém o recurso que o usuário está 
tentando acessar) tem uma relação de confiança com o domínio confiável (o domínio de logon do usuário). Para determinar isso, tentando acessar) tem uma relação de confiança com o domínio confiável (o domínio de logon do usuário). Para determinar isso, 
o sistema de segurança calcula o caminho de confiança entre um controlador do domínio confiante e um controlador do domínio o sistema de segurança calcula o caminho de confiança entre um controlador do domínio confiante e um controlador do domínio 
confiável. Na ilustração, os caminhos de confiança estão indicados com setas que mostram a direção da relação de confiança:confiável. Na ilustração, os caminhos de confiança estão indicados com setas que mostram a direção da relação de confiança:
Windows - Direção da relação de confiança
Relação de confiança unidirecionalRelação de confiança unidirecional
Uma relação de confiança unidirecional é um caminho de autenticação unidirecional criado entre dois domínios. Uma relação de confiança unidirecional é um caminho de autenticação unidirecional criado entre dois domínios. 
Isso significa que, em uma relação de confiança unidirecional entre o Domínio A e o Domínio B, os usuários no Isso significa que, em uma relação de confiança unidirecional entre o Domínio A e o Domínio B, os usuários no 
Domínio A podem acessar recursos no Domínio B. Porém, os usuários no Domínio B não podem acessar Domínio A podem acessar recursos no Domínio B. Porém, os usuários no Domínio B não podem acessar 
recursos no Dominio A. Algumas relações de confiança unidirecionais podem ser uma relação de confiança recursos no Dominio A. Algumas relações de confiança unidirecionais podem ser uma relação de confiança 
intransitiva ou uma relação de confiança transitiva, dependendo do tipo de confiança que está sendo criado. intransitiva ou uma relação de confiança transitiva, dependendo do tipo de confiança que está sendo criado. 
Relação de confiança bidirecionalRelação de confiança bidirecional
Todas as relações de confiança entre domínios de uma floresta do Windows Server são relações de confiança Todas as relações de confiança entre domínios de uma floresta do Windows Server são relações de confiança 
transitivas bidirecionais. Quando Domínio A confia no Domínio B e o Domínio B confia no Domínio A. Algumas transitivas bidirecionais. Quando Domínio A confia no Domínio B e o Domínio B confia no Domínio A. Algumas 
relações bidirecionais podem ser intransitivas ou transitivas, dependendo do tipo de relação de confiança que relações bidirecionais podem ser intransitivas ou transitivas, dependendo do tipo de relação de confiança que 
está sendo criado. São automáticas entre domínios pais e filhosestá sendo criado. São automáticas entre domínios pais e filhos
Um domínio do Windows Server pode estabelecer uma relação de confiança unidirecional ou bidirecional com:Um domínio do Windows Server pode estabelecer uma relação de confiança unidirecional ou bidirecional com:
 Domínios do Windows Server 2003 na mesma florestaDomínios do Windows Server 2003 na mesma floresta
 Domínios do Windows Server 2003 de uma floresta diferenteDomínios do Windows Server 2003 de uma floresta diferente
 Domínios do Windows NT 4.0Domínios do Windows NT 4.0
 Territórios do Kerberos V5 Territórios do Kerberos V5 
Windows - Diretivas de grupo - GPO
• As configurações de Diretivas de Grupo definem os vários componentes do ambiente de área de trabalho do As configurações de Diretivas de Grupo definem os vários componentes do ambiente de área de trabalho do 
usuário que o administrador do sistema precisa gerenciar, por exemplo, os programas que estão disponíveis usuário que o administrador do sistema precisa gerenciar, por exemplo, os programas que estão disponíveis 
para usuários, os programas que aparecem na área de trabalho do usuário e as opções do menu Iniciar.para usuários, os programas que aparecem na área de trabalho do usuário e as opções do menu Iniciar.
• A Diretiva de Grupo se aplica não apenas a usuários e computadores clientes, mas também a servidores A Diretiva de Grupo se aplica não apenas a usuários e computadores clientes, mas também a servidores 
membros, a controladores de domínio e a qualquer computador com o Windows dentro do escopo de membros, a controladores de domínio e a qualquer computador com o Windows dentro do escopo de 
gerenciamento.gerenciamento.
• Por padrão, a Diretiva de Grupo aplicada a um domínio (ou seja, aplicada no nível do domínio, logo acima da Por padrão, a Diretiva de Grupo aplicada a um domínio (ou seja, aplicada no nível do domínio, logo acima da 
raiz de Usuários e Computadores do Active Directory) afetará todos os computadores e usuários no domínio.raiz de Usuários e Computadores do Active Directory) afetará todos os computadores e usuários no domínio.
• As configurações de GPO são editadas utilizando o Editor de Objetos de Diretívas de grupo e o GPMC As configurações de GPO são editadas utilizando o Editor de Objetos de Diretívas de grupo e o GPMC 
(Console de Gerenciamento de Diretivas de Grupo)(Console de Gerenciamento de Diretivas de Grupo)
Windows - Editores de Diretiva de grupo - GPMC
Windows - Editor de Objetos de Política de Grupo
Windows - GPO – Ordem de aplicação
As diretivas são aplicadas nesta ordem:As diretivas são aplicadas nesta ordem:
– O objeto de Diretiva de Grupo O objeto de Diretiva de Grupo locallocal exclusivo. exclusivo.
– Objetos de Diretiva de Grupo do Objetos de Diretiva de Grupo do sitesite, na ordem especificada de forma administrativa., na ordem especificada de forma administrativa.
– Objetos de Diretiva de Grupo de Objetos de Diretiva de Grupo de domíniodomínio, na ordem especificada de forma , na ordem especificada de forma 
administrativa.administrativa.
– Objetos de Diretiva de Grupo deObjetos de Diretiva de Grupo de unidade organizacional unidade organizacional, da maior unidade , da maior unidade 
organizacional para a menor (unidade organizacional pai para filho), e na ordem organizacional para a menor (unidade organizacional pai para filho), e na ordem 
especificada de forma administrativa no nível de cada unidade organizacional.especificada de forma administrativa no nível de cada unidade organizacional.
Windows - Tipos de grupos
Grupos LocaisGrupos Locais – Presentes apenas no computador local – Presentes apenas no computador local
Grupos de SegurançaGrupos de Segurança – Grupos que podem ter descritores de – Grupos que podem ter descritores de 
segurança associados a eles.segurança associados a eles.
Grupos de DistribuiçãoGrupos de Distribuição – Grupos utilizados para listas de – Grupos utilizados para listas de 
distribuição de e-mails. Não podem ter descritores de segurança distribuição de e-mails. Não podem ter descritores de segurança 
associados a eles.associados a eles.
Windows - Escopos de grupos
Escopo de grupo O grupo pode incluir 
como membros…
O grupo pode ser 
atribuído a permissões 
em…
O escopo de grupo pode 
ser convertido em…
Domínio local ● Contas de qualquer 
domínio
● Grupos globais de 
qualquer domínio
● Grupos universais de 
domínio
● Grupos de domínio local, 
mas somente para o mesmo 
domínio que o grupo de 
domínio local pai
É possível atribuir 
permissões de membro 
somente no mesmo 
domínio que o grupo de 
domínio local pai
Universal (desde que 
nenhum outro grupo de 
domínio local exista como 
membro)
Global ● Contas do mesmo 
domínio que o grupo 
global pai
● Grupos globais do 
mesmo domínio que o 
grupo global pai
Permissões do membro 
podem ser atribuídas em 
qualquer domínio
Universal (desde que não 
seja membro de nenhum 
outro grupo global)
Universal ● Contas de qualquer 
domínio na floresta em que 
o grupo Universal reside
● Grupos globais de 
qualquer domínio na floresta 
em que o grupo Universal 
reside
● Grupos universais de 
qualquerdomínio na floresta 
em que o grupo Universal 
reside
Qualquer domínio ou 
floresta
● Domínio local
● Global (desde que 
nenhum outro grupo 
universal exista como 
membro)
	Slide 1
	Slide 2
	Slide 3
	Slide 4
	Slide 5
	Slide 6
	Slide 7
	Slide 8
	Slide 9
	Slide 10
	Slide 11
	Slide 12
	Slide 13
	Slide 14
	Slide 15
	Slide 16
	Slide 17
	Slide 18
	Slide 19
	Slide 20
	Slide 21
	Slide 22
	Slide 23
	Slide 24