• Nenhum resultado encontrado

O Active Directory armazena informações

N/A
N/A
Info
Descarregar agora
Protected

Academic year: 2021

Share "O Active Directory armazena informações"

Copied!
18
0
0

Carregando.... (Ver texto completo agora)

Descarregar agora ( 18 páginas )

Texto

(1)
(2)
(3)
(4)
(5)

9

Capítulo 1: Entendendo o Active Directory

Como será visto mais adiante neste livro, as federações fornecem um serviço de Single Sign-On (SSO), que ajuda a minimizar o número de IDs e senhas de logon a serem memorizadas pelos usuários, bem como simplificam o acesso desses usuários a recursos situados em outros ambientes de TI. Este software agora faz parte do guarda-chuva do AD do Windows Server 2008 e mudou de nome para Active

Directory Federation Services ou AD FS.

Active Directory Certificate Services

Os Certificate Services fazem parte do software do Windows Server já há algum tempo. Com este software, você poderá criar autoridades certificadoras capazes de emitir certificados de chave pública usados para fazer coisas como autenticação via smart cards ou encriptação de dados antes de serem transmitidos pela rede. Os Certificate Services também fornecem o gerenciamento necessário desses certificados de modo que eles possam ser renovados e revogados. No Windows Server 2008, os Certificate Services fazem parte do Active Directory e são conhecidos como Active Directory Certificate Services (AD CS).

Active Directory Rights Management Services

Gerenciar o que os usuários podem fazer com os dados sempre foi um problema para a maioria das empresas. Embora o Active Directory tenha feito um bom trabalho em controlar se um usuário pode ou não acessar um documento, ele não tinha a capacidade de controlar o que o usuário fazia com os dados depois de ter acesso a eles. Eis que surge o Active Directory Rights Management Services (AD RMS). Se o deploy do AD RMS for feito adequadamente, as empresas poderão ter o con-trole de documentos confidenciais, evitando, por exemplo, que eles sejam enviados por e-mail a usuários não autorizados.

O termo Active Directory é usado aqui no lugar de Active Directory

Domain Services, pois nas versões anteriores do Windows Server, o Active Directory era o que chamamos agora de Active Directory Domain

Services. Quando eu me refiro ao guarda-chuva do Active Directory apenas como Active Directory, deixo bem claro que não estou falando sobre os Active Directory Domain Services. Além disso,quando me refiro aos outros elementos do AD, como os Active Directory Federation Services, eu os chamo pelo respectivo nome ou acrônimo.

O Active Directory armazena

informações

Antes de qualquer coisa, o Active Directory armazena informações. Essas informações são organizadas em objetos individuais na forma de dados. Cada objeto tem um determinado conjunto de atributos associado a ele. Uma lista telefônica, por exemplo, armazena infor-mações, onde cada objeto representa uma casa ou uma empresa que contém atributos para estas informações, como nomes, endereços e números de telefone (Ver Figura 1-2).

LEMB

(6)

10

Parte I: O Começo

De onde veio isso?

Os Serviços de Domínio do Active Directory evoluíram, mas começaram sendo um ser-viço de diretório para o Microsoft Exchange Server, da Versão 4.0 até a 5.5. Os serviços de diretório do AD, na verdade, derivam de um serviço de diretório padrão chamado X.500, que consiste em um conjunto de recomendações para projetistas de ser-viços de diretório feitas para garantir que os produtos de vários fabricantes possam trabalhar juntos. Esses são os protocolos X.500:

 Directory Access Protocol (DAP, na sigla em inglês)

 Directory System Protocol (DSP, na sigla em inglês)

 Directory Information Shadowing Protocol (DISP, na sigla em inglês)  Directory Operational Binding

Management Protocol (DOP, na sigla em inglês)

Porém, o Active Directory usa o Lightweight Directory Access Protocol (LDAP, na sigla em inglês) Versão 3 (definida nas RFCs 1777 e 2251) para acessar o banco de dados do diretório, em vez de usar os protocolos X.500 já existentes. Por isso, o Active Directory é compatível com o X.500, o que significa que ele pode trabalhar com outros serviços de diretório baseados no X.500, mas não obe-dece ao X.500, isto é, não segue estrita-mente todas as especificações do X.500. Este armazenamento de dados, bem como a capacidade de recuperar e modificar os dados armazenados fazem do Active Directory um

ser-viço de diretório. E por que não considerar o Active Directory como um banco de dados? Eles certamente têm funcionalidades em comum, como armazenamento, recuperação e replicação de dados, mas existem também algumas diferenças importantes. Em primeiro lugar, os servi-ços de diretório normalmente são otimizados para leitura, porque esta representa a maior parte das operações realizadas, e seus dados geral-mente não sofrem alterações. Além disso os dados estão estruturados em algum tipo de hierarquia que permite seu armazenamento e organi-zação em diretórios. Repetindo a analogia da lista telefônica, as Páginas Amarelas organizam os objetos por tipos de empresa, facilitando as buscas. O mesmo vale para o serviço de diretório: é possível organizar seus objetos em uma hierarquia de contêineres para que seja mais fácil encontrá-los. Já o banco de dados relacional, como o Microsoft SQL Server, é projetado para otimizar tanto a leitura quanto a escrita, porque os dados são freqüentemente lidos e alterados. Alem disso, um banco de dados geralmente não impõe uma hierarquia aos dados, como acontece no serviço de diretório.

campos Figura 1-2 Uma lista telefônica armazena campos de informação. SOBRENOME Adams Baker Smith NOME Alison Joe Alex ENDEREÇO Travessa ABC, 123 Rua da Árvore, 234 Estrada da Floresta, 345 NÚMERO DE TELEFONE 000-123-4567 000-123-4568 000-123-4569

(7)

11

Capítulo 1: Entendendo o Active Directory

No Active Directory, o termo objeto pode se referir a um usuário, grupo, impressora ou a qualquer outro componente real e seus respectivos atributos. O Active Directory armazena informações e contém todos os objetos de um ambiente Windows 2008.

O Active Directory tem uma estrutura

(Ou hierarquia)

Um serviço de diretório, como o Active Directory, permite que os objetos sejam armazenados em uma hierarquia ou estrutura. Esta estrutura, uma das áreas a serem projetadas para a implantação do Active Directory, tem dois lados:

O

 lado lógico: É a estrutura lógica fornecida pela organização dos objetos. Estes objetos do AD podem representar usuários, computadores, grupos, ou vários outros itens existentes no ambiente de TI. Esta estrutura depende principalmente de como você quer administrar sua infra-estrutura de TI, e também da estrutura de sua empresa.

O

 lado físico: Todos os serviços debaixo do guarda-chuva do Active Directory são fornecidos por servidores que rodam o sof-tware do AD. Estes servidores representam objetos físicos que deverão ser colocados em sua rede. Depois da instalação desses servidores, você irá definir como eles conversam entre si e como os usuários serão direcionados para eles. Esta topologia física é funda-mental para que o AD funcione adequadamente.

Mantendo a analogia com a lista telefônica, a menos que os itens sejam colocados em seus devidos lugares (residências, restaurantes, etc), ninguém será capaz de localizar os dados e usar a informação contida na lista telefônica.

O Active Directory pode ser

personalizado

Como acontece com qualquer agenda eletrônica, é possível fazer buscas no Active Directory. Porém, ao contrario de uma lista tele-fônica, é possível personalizar o Active Directory de modo a incluir objetos adicionais e atributos dos objetos que você considere impor-tantes. Este recurso faz com que o Active Directory seja extensível, isto é, permite adicionar coisas a ele.

Entenda a Linguagem do Active

Directory

A experiência mostra que as novas tecnologias sempre vêm acompa-nhadas de novas terminologias, e o Active Directory não é exceção.

LEMB

(8)
(9)
(10)
(11)
(12)

16

Parte I: O Começo

É possível aninhar UOs, isto é, colocá-las umas dentro das outras 

para criar uma estrutura hierárquica.

Cada domínio pode ter uma hierarquia de UOs, ou a hierarquia das 

UOs pode ser a mesma em todos os domínios. Contudo, não é pos-sível estender uma UO entre domínios. As UOs sempre estão conti-das apenas em um domínio.

A estrutura das UOs corresponde às práticas corporativas da sua 

empresa. No início deste capítulo eu falei sobre adaptar a estrutura lógica ao local de trabalho dos funcionários. As UOs podem ajudar a organizar os recursos de rede para que eles sejam fáceis de localizar e de gerenciar.

Muitos fatores podem influenciar a estrutura ou o modelo da sua OU. Um modelo de OU pode ser um reflexo do modelo administrativo ou da estrutura da empresa, seja através do organograma ou dos locais de trabalho.

Um domínio chamado Oeste, por exemplo, representa a região oci-dental dos Estados Unidos. Este domínio contém UOs chamadas Califórnia, Washington e Oregon, conforme mostrado na Figura 1-6. A UO Califórnia contém duas UOs aninhadas chamadas São Francisco e São Diego. A UO Washington contém objetos organizados em UOs chamadas Tacoma e Seattle. Para facilitar a administração e manter a semelhança na estrutura, o domínio Leste segue os mesmos padrões usados no domínio Oeste.

Se desejar, você poderá organizar as UOs das cidades de modo que São Francisco, São Diego, Tacoma e Seattle contenham UOs aninha-das para conter objetos do tipo usuário e impressora.

Você poderá criar relações de confiança transitivas entre as florestas A e B de modo que todos os domínios da floresta A confiem em todos os domínios da floresta B e vice-versa. Usar relações de confiança transitiva entre florestas poderá facilitar muito a sua vida!

Objeto

Um objeto é qualquer componente dentro do ambiente do Active Directory. (Falei brevemente sobre objetos na seção “O Active Directory Armazena Informações”, do início deste capítulo). Uma impressora, um usuário, um grupo – todos são objetos. Todos os objetos contêm informações descritivas, ou atributos.

Sites e Links entre Sites

Um site é um agrupamento de sub-redes IP conectadas por links de alta velocidade ou de banda larga. Sites fazem parte da topologia física (ou formato físico) da rede, e cada site pode conter controlado-res de domínio oriundos de um ou mais domínios.

Durante a fase de planejamento para implementar o Active Directory, você definirá a topologia dos sites para o seu ambiente. É possível usar sites para otimizar a largura de banda de uma rede através do controle da replicação e do tráfego de logon e autenticação. (O Capítulo 12 mostra como usar sites para controlar o tráfego).

LEMB

(13)
(14)

18

Parte I: O Começo

os controladores de domínio trocam informações do banco de dados do diretório dentro de um domínio. A replicação entre os controla-dores de domínio existentes dentro de um site é ativada por atualiza-ções ou inseratualiza-ções no banco de dados.

Os sites também são usados como fronteiras de autenticação entre os clientes da rede. Embora qualquer controlador de domínio possa autenticar um usuário de qualquer ponto do domínio, indicar o mais próximo para fazer isso nem sempre é a forma mais eficiente de usar a rede. Depois de especificar as fronteiras do site, o controlador de domínio disponível que estiver mais próximo do site do cliente fará a autenticação do cliente. Esta configuração minimiza o tráfego de autenticação na rede e diminui o tempo de resposta para o cliente.

O esquema do Active Directory

Além dos componentes básicos do Active Directory discutidos nas seções anteriores, você também deverá conhecer o esquema do Active Directory. O esquema contém definições de todas as clas-ses (ou categorias) e atributos que compõem um objeto. Isto é, o esquema é onde as regras tratam dos tipos de objeto que podem ser armazenados no diretório e quais atributos estão associados a cada tipo de objeto.

Normalmente, um administrador de AD não costuma fazer alterações no esquema. Na maior parte das vezes, o esquema é modificado apenas ao instalar uma aplicação que usa o Active Directory para armazenar e recuperar informações. Um bom exemplo é o Microsoft Exchange Server, que exige a criação e a modificação de vários atri-butos e classes de objetos para que ele funcionar. Mas pode haver casos em que você precise modificar o esquema por conta própria. Por exemplo, suponha que todos os funcionários da Steveco Corp. tenham um atributo específico na empresa (digamos, um número de matrícula) associado a eles e você quer colocar essa informação no Active Directory. Não existe um atributo no esquema default chamado SteveCoEmpNum, então você terá que fazer as mudanças necessárias no esquema para incluí-lo.

Ao instalar o Active Directory, um esquema básico é criado por default, contendo as definições das classes dos objetos e dos atribu-tos de todos os componentes disponíveis no Windows Server 2008. À medida que sua árvore de diretórios cresce, você poderá estender ou modificar o esquema, adicionando ou alterando classes e atributos da seguinte forma:

 Criando uma nova classe de objeto Criando um novo atributo

 Modificando uma classe de objeto Modificando um atributo

Desabilitando uma classe de objeto 

Desabilitando um atributo 

(15)
(16)
(17)
(18)

22

Parte I: O Começo

Directory. O espaço nominal do DNS é o requisito mais importante para que uma implementação do Active Directory seja bem-sucedida, e os dois estão intimamente ligados. Se o planejamento do espaço nominal do DNS não for feito corretamente, o serviço do Active Directory será difícil de administrar e não atenderá a comunidade de usuários de forma adequada.

É essencial entender profundamente o DNS e o TCP/IP para planejar e implementar o Windows 2000 e o Active Directory. Uma boa fonte de informações é o TCP/IP For Dummies, de Cameron Brandon (publi-cado pela Wiley).

O Capítulo 4 mostra que é preciso planejar o espaço nominal do DNS antes de projetar o Active Directory. O projeto de espaço nominal do DNS criado por você (ou já existente na sua empresa) será usado para definir o espaço nominal para o Active Directory

Se você não estiver usando o serviço de DNS da Microsoft, deverá usar outro serviço de DNS que seja compatível com as RFCs 2136 e 2052.

Porque Faz Bem para Você: Os

Benefícios do Active Directory

Eu não sei quanto a você, mas toda vez que minha mãe recomendava comer verduras porque “faz bem para você”, eu não me sentia muito motivado. Eu precisava saber exatamente o que o brócolis poderia fazer por mim.

Do mesmo modo que eu fazia em relação às verduras, talvez você precise conhecer os verdadeiros benefícios que podem ser obtidos se você aceitar o desafio e fizer as alterações de gerenciamento e projeto exigidas pelo Windows 2008 e pelo Active Directory. O Active Directory oferece recursos atraentes tanto para administra-dores quanto para usuários finais:

Facilita o gerenciamento devido à natureza centralizada do 

banco de dados do Active Directory.

Aumenta a escalabilidade (isto é, pode ficar muito maior!), per-

mitindo que o banco de dados do Active Directory armazene milhões de objetos sem alterar o modelo de administração. Um catálogo que permite buscar recursos na rede de forma 

rápida e fácil. A rede se torna menos invasiva, permitindo que os usuários se concentrem no trabalho em vez das ferramentas. O Active Directory forma um backbone de infra-estrutura que 

pode ser utilizado por muitas plataformas e aplicativos de TI. Recomendo que você siga todas as etapas de planejamento e testes apresentadas neste livro. Uma vez preparado e instalado correta-mente, o Active Directory poderá oferecer vantagens imensas tanto para você quanto para sua empresa.

Referências

Descarregar agora ( PDF - 18 páginas - 1.43 MB )

Documentos relacionados

RELAÇÃO DE ASSUNTOS E BIBLIOGRAFIA INDICADAS PARA O CONCURSO DE ADMISSÃO / 2017 AO ESTÁGIO DE INSTRUÇÃO E ADAPTAÇÃO PARA CAPELÃES MILITARES / 2018

Carta Encíclica, Laudato Si: Sobre o Cuidado da Casa Comum, São Paulo: Paulinas, 2015.. Bula de proclamação do Jubileu extraordinário da

Configurando o UBR7100 no modo de Bridge

Nota: Para obter mais informações sobre de configurar o conversor ascendente integrado, refira o ajuste do conversor ascendente integrado em configurar a relação do cabo Cisco para

UNIDADES ACADÊMICAS DA CAPITAL

libras ou pedagogia com especialização e proficiência em libras 40h 3 Imediato 0821FLET03 FLET Curso de Letras - Língua e Literatura Portuguesa. Estudos literários

Curiosa palavra. Idoso. O que acumulou idade. Também tem o sentido de quem se apega à idade. Ou que a esbanja (como gostoso ou dengoso). Se é que não

__________ tem como objetivo prestar informações ao INSS sobre a efetiva exposição do trabalhador a agentes nocivos, quais foram as atividades realizadas por período

English version at the end of this document

[1] Roteiro da disciplina disponibilizado pelo docente, Sebenta de Instrumentação e Medidas - Apontamentos das aulas teóricas, ISE/UALg. [2] Aurélio Campilho,

HENRI SAUSSE. Biografia de ALLAN KARDEC. prefácio de Léon Denis. tradução de Evandro Noleto Bezerra

O livro que ora apresen- tamos aos leitores, muito mais completo, é a versão integral daquela biografia, abrangendo as três seções em que se divide a obra, incluindo a extraordinária

BuscaLegis.ccj.ufsc.br

Popularmente, quando questionamos se uma pessoa tem ou não consciência de seus atos, na realidade estamos tentando dizer se ela tem ou não juízo crítico de seus atos, uma

Séries TDS1000B e TDS2000B Osciloscópios de Armazenamento Digital Manual do Usuário

Menu ou sistema Opção, botão ou botão giratório Configuração padrão Tipo Borda TRIGGER (comum) Origem CH1 Inclinação Subida Modo Auto Acoplamento CC TRIGGER (Borda) NÍVEL 0,00