Você aprendeu que o Active Directory, basicamente, é uma base de dados e um conjunto de serviços. Na base de dados do Active Directory estão informações sobre todos os objetos da rede, tais como: usuários, grupos, computadores, impressoras, servidores, domínios, unidades organizacionais e assim por diante. Os serviços do Active Directory permitem a manutenção, atualização e replicação desta base de dados, além de fornecer serviços de pesquisa de objetos.
Iniciei o capítulo apresentando o conceito de diretório. Você aprendeu que até mesmo uma lista telefônica pode ser considerada um exemplo de diretório. Você também ficou sabendo que, na prática, existem vários diretórios na rede das empresas. Por isso que o usuário é obrigado a utilizar diferentes senhas para acessar os deferentes sistemas da empresa. De uma maneira simplificada, para cada diretório existente na rede, uma senha.
Também falei sobre as diferenças entre uma rede baseada no conceito de Workgroup e uma rede baseada em diretórios. A rede baseada em Workgroup é difícil de administrar, sendo recomendada somente para pequenas redes, onde existe um único servidor e não mais do que 10 estações de trabalho. Já redes baseadas em diretórios podem crescer e atender a milhares de usuários e dezenas, até mesmo centenas ou milhares de servidores.
Neste momento mostrei o papel do Windows Server 2003 dentro de uma rede baseada em domínios. Um servidor baseado no Windows Server 2003 pode assumir o papel de DC (Domain Controler – Controlador de domínio). No DC fica uma cópia integral da base de dados do Active Directory. Esta base pode sofrer alterações, as quais devem ser replicadas para os demais DCs do domínio.
Em seguida, já tratando sobre o Active Directory, apresentei o conceito de Domínio. Você aprendeu que um domínio, basicamente, é uma divisão lógica da rede. Um domínio consiste também em uma divisão administrativa e de segurança.
Um domínio pode conter diversos objetos, tais como usuários, grupos de usuários, contas de computadores e assim por diante. Todas estas informações ficam armazenadas na base de dados do Active Directory.
A utilização de Unidades Organizacionais ajuda a eliminar alguns problemas de Administração existentes no NT Server 4.0. Com o uso de Unidades Organizacionais é possível fazer uma divisão lógica do domínio, divisão esta baseada em critérios geográficos ou funcionais. Com o uso de Unidades Organizacionais é possível delegar permissões administrativas a nível da Unidade Organizacional e não somente no nível de domínio, como ocorria com o NT Server 4.0.
Você também aprendeu sobre os tipos de grupos existentes no Active Directory. Mostrei que, quanto ao tipo, os grupos são divididos em Grupos de distribuição e Grupos de segurança. Somente grupos de segurança podem ser utilizados para atribuir permissões de acesso a recursos tais como pastas compartilhadas, impressoras compartilhadas, etc. Os grupos de distribuição são utilizados para envio de mensagens de e-mail para todos os membros do grupo.
Os grupos também são classificados quanto ao escopo, em: Universais, Globais e Locais. Um grupo Universal pode conter membros e outros grupos de qualquer domínio e pode receber permissões de acesso em recursos de qualquer domínio. Os grupos Globais podem ter como membros somente objetos do próprio domínio, porém podem receber permissões de acesso em objetos de outros domínios. Os grupos locais podem conter membros de outros domínios, mas somente podem receber permissões de acesso a recursos do próprio domínio. Em seguida apresentei vários estudos de caso para fixação dos conceitos de grupos, principalmente em relação ao escopo de grupos: Universal, Global e Local.
Você pode dividir a rede da sua empresa em vários domínios, criando assim uma árvore de domínios. Mostrei que dentro da árvore deve ser utilizado um espaço de nomes contínuo, no qual o nome do objeto filho deve conter todo o nome do objeto pai.
Seguindo o estudo do Active Directory, apresentei o importante conceito de Catálogo Global. Pelo menos um DC de cada domínio atua também como Servidor de Catálogo Global. No DC está a cópia completa da base de dados do domínio do DC. No Servidor de Catálogo Global está a cópia completa da base de dados do domínio do Servidor de Catálogo Global e uma cópia parcial (somente alguns atributos) da base de dados de todos os demais domínios da floresta. O Servidor de Catálogo Global ajuda a reduzir o tráfego de rede e a agilizar as pesquisas realizadas no Active Directory. O Administrador pode configurar mais DCs do domínio para que também atuem como Servidores de Catálogo Global.
Avançando um pouco mais, você aprendeu que é possível reunir duas ou mais árvores de domínios para formar uma floresta. O que caracteriza uma árvore de domínios é o espaço de nomes contínuo, conforme descrito anteriormente. É possível juntar duas ou mais árvores para formar uma floresta de domínios.
Outro conceito muito importante é o de relações de confiança. Neste tópico fiz um pequeno histórico sobre como eram as relações de confiança na época do NT Server 4.0. Você aprendeu que no NT Server 4.0, as relações de confiança eram unidirecionais, não transitivas e tinham que ser criadas e mantidas manualmente pelo administrador. Já no Windows 2000 Server e no Windows Server 2003, as relações de confiança são criadas automaticamente, são transitivas e são bi-direcionais.
Em seguida foi o momento de falar sobre a divisão física do Active Directory e sobre replicação. Domínios, árvores, florestas, etc, constituem a estrutura e a divisão lógica do Active Directory. O conceito de sites representa a estrutura e a divisão física do Active Directory. O principal objetivo de dividir a rede em sites é para que o KCC (serviço do Active Directory responsável por determinar um esquema de replicação otimizado) possa determinar qual o melhor esquema de replicação a ser utilizado, mantendo um equilíbrio entre o tempo de atualização dos DCs e a quantidade de informações de replicação a ser gerada nos links de WAN.
Você também aprendeu um pouco sobre os níveis de funcionalidade de um domínio e também da floresta.
Repito, os conceitos teóricos vistos neste capítulo são fundamentais e serão necessários em todos os demais capítulos do livro. Se você ficou com dúvida sobre um dos conceitos, peço que você volte e releia o referido conceito. É muito importante que você entenda os diversos elementos que compõem o Active Directory, tanto em sua estruturação lógica, quanto em sua estruturação física.
Em seguida partimos para a prática. Você aprendeu a instalar o Active Directory, usando o comando dcpromo e também a ferramenta administrativa Gerenciar o servidor. Inicialmente foi feito um exercício onde foi criado um novo domínio, chamado abc.com. Em seguida você aprendeu a rebaixar um DC de volta a member server. Em seguida mostrei como criar um novo DC em um domínio já existente.
Também mostrei quais as mudanças feitas pelo assistente de instalação do Active Directory, quando um servidor é promovido a DC.
O próximo passo foi aprender um pouco mais sobre os níveis de funcionalidade de domínio e de floresta. Para finalizar o capítulo apresentei a parte prática para algumas ações do Active Directory, tais como:
♦ Definir o nível de funcionalidade do domínio. ♦ Definir o nível de funcionalidade da floresta. ♦ Configurar relações de confiança manualmente.
♦ Definir um servidor como Servidor de Catálogo Global.
A partir do próximo capítulo passarei a apresentar as ferramentas de administração do Windows Server 2003. A partir do Capítulo 4 você aprenderá a utilizar as diversas ferramentas administrativas do Windows Server 2003.
Introdução
Nos Capítulos 1 e 2, apresentei uma série de fundamentações teóricas. Desde uma retrospectiva da época do modelo baseado em mainframe, passando pela evolução do modelo Web, chegando em redes baseadas em diretórios. Também apresentei uma descrição completa dos elementos que compõem o Active Direc- tory (Capítulo 2).
Você também aprendeu a instalar o Windows Server 2003. Agora já está mais do que na hora de começar a trabalhar e a aprender a utilizar os recursos de administração do Windows Server 2003, cobrados no Exame 70-290. É isso que mostrarei para você a partir deste capítulo, ou seja, a parte prática, a famosa “mão na massa”.
No Windows Server 2003, a exemplo do que já acontecia no Windows 2000 Server, todas as ferramentas administrativas são baseadas em uma interface padrão e em um conjunto de tecnologias comuns. Toda ferramenta administrativa é conhecida como Console. Assim temos:
◆ Console para administração de contas de usuários e grupos. ◆ Console para administração de sites.
◆ Console para administração do Schema. ◆ Console para monitoramento de desempenho.
◆ Console para acessar os logs de auditoria e assim por diante.
Todos os consoles tem uma interface semelhante. A interface das ferramentas administrativas é muito parecida com a interface do Windows Explorer. Temos um painel a esquerda, onde estão disponíveis as diversas opções relacionadas com o console que está sendo utilizado. Ao selecionar uma opção no painel da esquerda, são exibidas as opções relacionadas no painel da direita. Na Figura 3.1 você tem um exemplo do console de administração de pastas compartilhadas em um servidor: