• Nenhum resultado encontrado

GESTÃO DE SISTEMAS E REDES SERVIÇOS DE DIRETÓRIOS MS AD

N/A
N/A
Protected

Academic year: 2021

Share "GESTÃO DE SISTEMAS E REDES SERVIÇOS DE DIRETÓRIOS MS AD"

Copied!
55
0
0

Texto

(1)

GESTÃO  DE  

SISTEMAS  E  REDES

(2)

OUTLINE

UMA  BREVE  HISTÓRIA  DOS  DIRETÓRIOS

FUNDAMENTOS  DO  ACTIVE DIRECTORY

• COMO  SÃO  GUARDADOS  E  IDENTIFICADOS  OS  OBJETOS • IDENTIFICAÇÃO  ÚNICA  DE  OBJETOS

• BUILDING BLOCKS

IMPLEMENTAÇÃO  DO  AD  NO  AZURE

TRABALHO  LABORATORIAL  4

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(3)

UMA  BREVE  HISTÓRIA DOS  DIRETÓRIOS

• Em  termos  gerais,  um  serviço  de  diretório é  um  repositório  de  rede,  aplicação  ou   de  informação  NOS  (Network  Operating System)  que  é  útil  para  múltiplas  

aplicações  ou  utilizadores.

• Deste  modo,  o  Windows  NT  NOS  é  um  tipo  de  serviço  de  diretório.

• De  facto,  existem  diferentes  tipos  de  serviços  de  diretórios,  incluindo  as   chamadas  Internet  white pages,  sistemas  de  email e  mesmo  o  DNS.

• Apesar  destes  sistemas  terem  características  de  serviços  de  diretórios,  o  X.500  e   o  Lightweight Directory Access  Protocol (LDAP)  definem  o  standard   de  como  um   verdadeiro  serviço  de  diretórios  é  implementado  e  acedido.

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(4)

UMA  BREVE  HISTÓRIA DOS  DIRETÓRIOS

Em  1998  a  International Telecommunication Union  (ITU)  e  a  International

Organization of Standardization (ISO)  trabalharam  em  conjunto  para  desenvolver  

uma  série  de  normas  em  torno  dos  serviços  de  diretórios,  que  se  viriam  a  chamar   X.500.

• Apesar  do  X.500  ter  demonstrado  ser  um  bom  modelo  para  estruturar  um  

diretório  e  fornecer  uma  série  de  funcionalidades  entre  operações  avançadas  e  

de  segurança,  cedo  demonstrou  também  ser  demasiado  complexo  para  permitir   implementar  um  cliente  que  o  suportasse.

Uma  das  razões  é  que  o  X.500  é  baseado  no  modelo  Open  System  

Interconnection (OSI),  em  vez  de  na  pilha  TCP/IP,  que  entretanto  se  tornou  o   standard  de  facto  da  Internet.

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(5)

UMA  BREVE  HISTÓRIA DOS  DIRETÓRIOS

O  Directory Access  Protocol (DAP)  do  X.500  era  demasiado  complexo  e  

implementava  diversas  funcionalidades  que  os  clientes  nunca  iriam  necessitar.  

• Tal  complexidade  levou  a  que  este  protocolo  não  fosse  utilizado  em  larga  escala. • Como  alternativa,  um  grupo  da  Universidade  do  Michigan  começou  a  trabalhar  

num  X.500  light,  que  iria  permitir  uma  utilização  mais  simples  do  próprio  X.500.A  primeira  versão  dessa  versão  mais  light,  denominou-­‐se  Lightweight Directory

Access  Protocol (LDAP)  e  foi  lançada  em  1993  pelo  RFC  1487.

• No  entanto,  a  falta  de  várias  funcionalidades  fornecidas  pelo  X.500,  fez  com  que   essa  versão  light  nunca  fosse  deveras  utilizada.

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(6)

UMA  BREVE  HISTÓRIA DOS  DIRETÓRIOS

• Dois  anos  mais  tarde,  surge  o  LDAPv2,  descrito  no  RFC  1777,  sendo  a  partir  de   então  que  o  mesmo  começa  a  ganhar  popularidade.  

• Antes  do  lançamento  da  versão  2,  a  única  função  do  LDAP  era  de  servir  de   interface  entre  os  clientes  e  os  servidores  X.500.

• Clientes  simplificados  iriam  ligar-­‐se  a  gateways  LDAP  que  depois  traduziriam  os   pedidos  aos  servidores  X.500.

• Entretanto,  na  Universidade  do  Michigan  pensou-­‐se  que  se  o  LDAP  conseguisse   responder  aos  principais  pedidos  X.500  dos  clientes,  seria  possível  remover  o  

gateway.

• Desse  modo,  em  1995  a  mesma  equipa  lança  o  primeiro  serviço  de  diretório  

LDAP,  que  seguindo  o  mesmo  modelo  de  dados  do  X.500,  removia  o  overhead   existente  no  mesmo.

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(7)

UMA  BREVE  HISTÓRIA DOS  DIRETÓRIOS

• Em  1997,  a  última  grande  atualização  da  especificação  LDAP,  o  LDAPv3,  aparece   descrito  no  RFC  2251.

• A  versão  3  fornece  novas  funcionalidades  e  torna  o  LDAP  robusto  e  extensível  o   suficiente  para  ser  adoptado  e  implementado  pela  maioria  dos  fabricantes.

• Desde  então,  companhias  como  a  Netscape,  Sun,  Novell,  IBM,  a  fundação  

OpenLDAP e  a  Micrososft têm  desenvolvido  serviços  de  diretórios  baseados  em   LDAP.

• Mais  recentemente  surge  o  RFC  3377  que  junta  as  especificações  dos  principais   RFCs de  LDAP.

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(8)

OUTLINE

UMA  BREVE  HISTÓRIA  DOS  DIRETÓRIOS

FUNDAMENTOS  DO  ACTIVE DIRECTORY

COMO  SÃO  GUARDADOS  E  IDENTIFICADOS  OS  OBJETOS

• IDENTIFICAÇÃO  ÚNICA  DE  OBJETOS • BUILDING BLOCKS

IMPLEMENTAÇÃO  DO  AD  NO  AZURE

TRABALHO  LABORATORIAL  4

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(9)

FUNDAMENTOS  DO  ACTIVE DIRECTORY

COMO  SÃO  GUARDADOS  E  IDENTIFICADOS  OS  OBJETOS

• Os  dados  guardados  no  Active  Directory são  apresentados  ao  utilizador  do  

mesmo  modo  hierárquico  que  os  dados  dos  sistemas  de  ficheiros.

• Cada  entrada  é  referenciada  como  um  objeto.  Ao  nível  estrutural  existem  dois   tipos  de  objetos:

containers

non-­‐containers

Objetos  non-­‐containers são  também  conhecidos  como  nós  folhas.

Um  ou  mais  containers  ramificam  a  partir  de  uma  raiz,  num  modo  hierárquico.  

Containers  podem  conter  outros  containers ou  nós  folha.

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(10)

FUNDAMENTOS  DO  ACTIVE DIRECTORY

COMO  SÃO  GUARDADOS  E  IDENTIFICADOS  OS  OBJETOS

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(11)

FUNDAMENTOS  DO  ACTIVE DIRECTORY

COMO  SÃO  GUARDADOS  E  IDENTIFICADOS  OS  OBJETOS

• Considerando  a  relação  pais-­‐filhos  apresentados  na  figura  anterior,  podemos  

verificar  que  a  raiz  desta  árvore  tem  dois  filhos,  Finanças  (Finances)  e  Vendas   (Sales).  

Ambos  são  containers de  outros  objetos.  Vendas  tem  dois  filhos,  Pre-­‐Vendas (Pre-­‐ Sales)  e  Pós-­‐Vendas  (Post-­‐Sales).  

Apenas  o  container  Pre-­‐Vendas (Pre-­‐Sales)  é  mostrado  como  contendo  objetos   filhos  adicionais.

O  container  Pre-­‐Vendas (Pre-­‐Sales)  mantem  os  objetos  utilizador  (user),   grupo(group)  e  computador  (computer).

O  tipo  mais  comum  de  container  no  AD  é  chamado  de  unidade  organizacional  

organizational unit (OU).

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(12)

OUTLINE

UMA  BREVE  HISTÓRIA  DOS  DIRETÓRIOS

FUNDAMENTOS  DO  ACTIVE DIRECTORY

• COMO  SÃO  GUARDADOS  E  IDENTIFICADOS  OS  OBJETOS

IDENTIFICAÇÃO  ÚNICA  DE  OBJETOS

• BUILDING BLOCKS

IMPLEMENTAÇÃO  DO  AD  NO  AZURE

TRABALHO  LABORATORIAL  4

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(13)

FUNDAMENTOS  DO  ACTIVE DIRECTORY

IDENTIFICAÇÃO  ÚNICA  DE  OBJETOS

• Quando  se  guardam  milhões  de  objetos  no  AD,  cada  um  tem  forçosamente  que  

ser  unicamente  identificado  e  localizável.  

Como  tal,  cada  objeto  tem  um  Globally Unique Identifier (GUID),  assignado  pelo   sistema  durante  a  criação.

• O  GUID  é  um  número  de  128-­‐bits  que  é  mantido  até  à  remoção  do  objeto.

• O  GUID  é  aliás  preservado  no  caso  do  objeto  ser  movido  entre  domínios  numa   “floresta”  multidomínio.  

• Apesar  do  GUID  ser  um  identificador  resiliente,  o  mesmo  não  é  fácil  de  decorar.   Como  tal,  outra  forma  de  referenciar  objetos  é  através  do  distinguished name

(DN).

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(14)

FUNDAMENTOS  DO  ACTIVE DIRECTORY

IDENTIFICAÇÃO  ÚNICA  DE  OBJETOS

Distinguished name (DN).

Os  caminhos  hierárquicos  no  AD  são conhecidos  como  distinguished names e   podem  ser  utilizados  para  referenciar  unicamente  um  objeto.

Os  distinguished names (DN)  são  mencionados  no  RFC  do  LDAP  como  uma  forma   de  referenciar  qualquer  objeto  no  diretório.

• Os  DN  para  o  AD  são  tipicamente  representados  utilizando  a  sintax e  as  regras   definidas  pelo  LDAP.

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(15)

FUNDAMENTOS  DO  ACTIVE DIRECTORY

IDENTIFICAÇÃO  ÚNICA  DE  OBJETOS

Distinguished name (DN).

• Olhando  para  a  figura  anterior  a  raiz  seria:

dc=mycorp,  dc=com

• No  DN  anterior  representa-­‐se  o  domínio  da  raiz,  mycorp.com,  separando  cada   parte  por  vírgula  e  juntando  o  prefixo  “dc”  – domain component.

• Se  o  domínio  fosse  chamado  gsr.autonoma.pt,  o  DN  da  raiz  seria: • dc=gsr,dc=autonoma,dc=pt

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(16)

FUNDAMENTOS  DO  ACTIVE DIRECTORY

IDENTIFICAÇÃO  ÚNICA  DE  OBJETOS

Distinguished name (DN).

Para  unicamente  referenciar  um  objeto,  no  diretório,  dentro  do  container do  seu   pai,  utiliza-­‐se  o  relative distinguished name (RDN).

Por  exemplo,  o  DN  para  a  conta  de  Administrador,  no  container Users,  no   domínio  mycorp.com,  seria:

• cn=Administrator,cn=Users,dc=mycorp,dc=com • O  RDN  do  utilizador,  seria:

• cn=Administrator

Os  RDNs devem  sempre  ser  únicos  dentro  do  container  a  que  pertencem.

• É  permitido  ter  dois  objetos  cn=Administrator  no  mesmo  diretório,  desde  que   pertençam  a  containers diferentes.

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(17)

FUNDAMENTOS  DO  ACTIVE DIRECTORY

IDENTIFICAÇÃO  ÚNICA  DE  OBJETOS

Distinguished name (DN).

• Os  DN  são  compostos  por  prefixos  separados  pelo  sinal  de  igual.

• Outro  prefixo  bastante  comum,  e  já  abordado,  é  o  “ou”  – organizational unit.   • Ex:

• cn=Ricardo  Silva,  ou=Autonoma TechLab,  dc=autonoma,  dc=pt

• Todos  os  RDNs utilizam  um  prefixo  para  indicar  a  classe  do  objeto  que  está  a  ser   referenciado..

Qualquer  classe  que  não  tem  um  código  especifico,  utiliza  o  “cn”  – common  

name -­‐ por  default.  

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(18)

FUNDAMENTOS  DO  ACTIVE DIRECTORY

IDENTIFICAÇÃO  ÚNICA  DE  OBJETOS

Distinguished name (DN).

• A  lista  completa  das  classes  existentes  foi  definida  no  RFC  2253,  

http://www.ietf.org/rfc/rfc2253.txt

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT Key Attribute CN Common  name L Locality  name

ST State  or  province name O Organization  name

OU Organizational unit  name C Country name

STREET Street  address

DC Domain component UID User  ID

O  AD  da  Microsoft  suporta CN,   L,  O,  OU,  C  e  DC.  CN  e  OU  são

utilizados  na  maioria  dos   casos.

(19)

FUNDAMENTOS  DO  ACTIVE DIRECTORY

IDENTIFICAÇÃO  ÚNICA  DE  OBJETOS

Distinguished name (DN).

Considerando  novamente  a  figura  anterior,  se  todos  os  containers  forem   unidades  organizacionais:

• ou=Pre-­‐Sales,ou=Sales,dc=mycorp,dc=com • ou=Pos-­‐Sales,ou=Sales,dc=mycorp,dc=com

• Se  quisermos  especificar  um  utilizador  chamado  Ricardo  Silva,  um  grupo   chamado  GSR  e  uma  máquina  LAB68-­‐1,  seria:

• cn=Ricardo  Silva,ou=Pre-­‐Sales,ou=Sales,dc=mycorp,dc=com • cn=GSR,ou=Pre-­‐Sales,ou=Sales,dc=mycorp,dc=com • cn=LAB68-­‐1,ou=Pre-­‐Sales,ou=Sales,dc=mycorp,dc=com

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(20)

OUTLINE

UMA  BREVE  HISTÓRIA  DOS  DIRETÓRIOS

FUNDAMENTOS  DO  ACTIVE DIRECTORY

• COMO  SÃO  GUARDADOS  E  IDENTIFICADOS  OS  OBJETOS • IDENTIFICAÇÃO  ÚNICA  DE  OBJETOS

BUILDING BLOCKS

IMPLEMENTAÇÃO  DO  AD  NO  AZURE

TRABALHO  LABORATORIAL  4

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(21)

FUNDAMENTOS  DO  ACTIVE DIRECTORY

BUILDING BLOCKS

Domínios  e  Árvores  de  Domínios

• A  estrutura  lógica  do  AD  é  construída  em  torno  do  conceito  de  domínios. • Um  domínio  de  AD  é  constituído  pelos  seguintes  componentes:

Uma  hierarquia  baseada  no  X.500  para  containers  e  objetos. • Um  nome  de  domínio  DNS  como  identificador  único

• um  serviço  de  segurança,  que  autentica  e  autoriza  qualquer  acesso  a   recursos  através  de  contas  do  domínio  ou  de  domínios  de  confiança.

• Politicas  que  ditam  como  as  funcionalidades  são  restringidas  aos  utilizadores   ou  máquinas  dentro  do  domínio.

• Um  controlador  de  domínio  (DC)  é  oficial  para  um  único  domínio.

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(22)

FUNDAMENTOS  DO  ACTIVE DIRECTORY

BUILDING BLOCKS

Domínios  e  Árvores  de  Domínios

• Não  é  possível  ter  múltiplos  domínios  num  único  DC.  Por  exemplo,  a  Autónoma  já   tem  um  domínio  de  DNS  chamado  autonoma.pt e,  portanto,  decide  que  o  

primeiro  domínio  a  ser  criado  no  AD  será  chamado  autonoma.pt.

• No  entanto,  autonoma.pt é  somente  o  primeiro  domínio  da  raiz  da  árvore  de   domínios.

• Se  a  Autónoma  pretendesse  abrir  filiais  no  Brasil,  Angola  e  China,  adicionaria  os   domínios:

• brasil.autonoma.pt,  angola.autonoma.pt e  china.autonoma.pt,  como   domínios  da  árvore  de  domínio  do  AD.

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(23)

FUNDAMENTOS  DO  ACTIVE DIRECTORY

BUILDING BLOCKS

Domínios  e  Árvores  de  Domínios

• Independentemente  dos  domínios  a  árvore  seria  sempre  chamada  de  árvore  do   domínio  autonoma.pt

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT au ton oma.p t br asil.aut ono ma .pt an gola.au ton oma.p t ch ina .au ton om a.pt

(24)

FUNDAMENTOS  DO  ACTIVE DIRECTORY

BUILDING BLOCKS

Domínios  e  Árvores  de  Domínios

• Os  domínios  facilitam  a  gestão  e  o  acesso  aos  recursos,  uma  vez  que  todos  os   domínios  no  domínio  da  árvore,  confiam  implicitamente  uns  nos  outros.

• Deste  modo,  o  administrador  do  domínio  angola.autonoma.pt pode  permitir  o  

acesso  de  qualquer  utilizador  do  domínio,  mesmo  que  este  pertença  a  diferentes   domínios  da  árvore.

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(25)

FUNDAMENTOS  DO  ACTIVE DIRECTORY

BUILDING BLOCKS

Florestas

• A  próxima  peça  que  constitui  o  Active  Directory são  as  florestas.

• Enquanto  que  uma  árvore  de  domínio  é  uma  coleção  de  domínios,  uma  floresta  é   uma  coleção  de  árvores  de  domínio.

Estas  árvores  de  domínio  partilham  um  esquema  e  configuração  de  containers   comum,  onde  todas  as  árvores  estão  ligadas  por  esquemas  de  confiança.

• Uma  floresta  é  nomeada  depois  da  criação  do  primeiro  domínio,  também   conhecido  como  forest root  domain.

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(26)

FUNDAMENTOS  DO  ACTIVE DIRECTORY

BUILDING BLOCKS

Florestas

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT au ton oma.p t br asil.aut ono ma .pt an gola.au ton oma.p t ch ina .au ton om a.pt ag ostin hon eto .co.ao

FUNDAMENTOS  DO  ACTIVE DIRECTORY

BUILDING BLOCKS

Florestas

• Se  a  Autónoma  fizesse  uma  parceria  com  a  Universidade  Agostinho  Neto,  

poderia-­‐se criar  no  AD  uma  nova  árvore  de  domínio,  associada  a  esta  mesma   floresta,  garantindo  níveis  de  confiança  e  gestão.

(27)

FUNDAMENTOS  DO  ACTIVE DIRECTORY

BUILDING BLOCKS

Florestas

• Adicionando  uma  nova  árvore  de  domínio  na  floresta  iria  dar  origem  a  confiança   transitiva,  ou  seja,  se  A  confia  em  B e  B confia  em  C,  logo  A  confia  em  C.

• Do  mesmo  modo,  se  brasil.autonoma.pt confia  em  autonoma.pt e  autonoma.pt confia  em  agostinhoneto.co.ao,  então  brasil.autonoma.pt confia  em  

agostinhoneto.co.ao.

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT au ton oma.p t br asil.aut ono ma .pt ag ostin hone to .co .ao confia confia confia implicitamente

(28)

FUNDAMENTOS  DO  ACTIVE DIRECTORY

BUILDING BLOCKS

Unidades  Organizacionais

• Abordados  os  altos  níveis  (domínios,  árvores  e  florestas),  vamos  agora  analisar  os   níveis  mais  elementares.

• Quando  olhamos  para  dentro  do  AD  vemos  uma  hierarquia  composta  por  

diferentes  objetos,  alguns  que  podem  atuar  como  containers e  outros  que  não.

O  primeiro  tipo  de  container  que  se  cria  para  albergar  os  restantes  é  denominado   de  unidade  organizational (organizational unit -­‐ OU).

Um  OU  pode  conter  não  só  enormes  hierarquias  de  container  e  objetos,  como   aplica  ainda  politicas  de  grupos  a  estes.  

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(29)

FUNDAMENTOS  DO  ACTIVE DIRECTORY

BUILDING BLOCKS

Unidades  Organizacionais

• Imagine-­‐se  que  a  Autónoma  tem  2000  alunos  e  2000  contas  de  computadores  no   domínio.

• O  dia-­‐a-­‐dia  de  gestão  deste  grupo  é  simples,  mas  o  mesmo  em  certas  épocas   torna-­‐se  bastante  dinâmico,  com  alunos  a  entrar  e  a  sair.  

• Como  tal,  pretende-­‐se  dotar  um  administrador  com  capacidade  para  gerir  a  sua   própria  secção  da  árvore.

• A  segregação  completa  não  é  necessária  e  o  tamanho  do  ramo  não  justifica  a   criação  de  um  novo  domínio.

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(30)

FUNDAMENTOS  DO  ACTIVE DIRECTORY

BUILDING BLOCKS

Unidades  Organizacionais

• Como  tal,  pode-­‐se  simplesmente  criar  uma  nova  OU  na  hierarquia  chamando-­‐lhe   Alunos.

• Depois,  dar-­‐se-­‐ia  permissões  ao  administrador  para  gerir  as  contas:  criar,  alterar,   apagar,  modificar  passwords e  criar  outras  OUs dentro  da  OU  Alunos.

• As  permissões  dadas  a  esse  administrador  teriam  de  ser  limitadas  à  nova  OU  e   não  ao  domínio  sobre  o  qual  é  criada.

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT au ton oma.p t alu nos ou=alunos,dc=autonoma,dc=pt

(31)

FUNDAMENTOS  DO  ACTIVE DIRECTORY

BUILDING BLOCKS

Catálogo  Global

• O  catálogo  global  (GC)  é  uma  parte  muito  importante  do  Active  Directory porque   é  utilizado  para  efetuar  pesquisa  no  âmbito  da  floresta.

• Como  o  nome  sugere,  o  GC  é  um  catálogo  de  todos  os  objetos  de  uma  floresta   que  contem  um  subconjunto  dos  atributos  de  cada  objeto.

• O  GC  pode  ser  acedido  via  LDAP  no  porto  3268  ou  LDAP/SSL  no  porto  3269. • O  GC  é  read-­‐only e  não  pode  atualizado  diretamente.

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(32)

FUNDAMENTOS  DO  ACTIVE DIRECTORY

BUILDING BLOCKS

Catálogo  Global

• Em  florestas  multidomínio,  o  GC  é  utilizado  para  efetuar  a  primeira  pesquisa,  com   o  objetivo  de  localizar  os  objetos  de  interesse.

• Numa  segunda  fase  a  pesquisa  já  é  efetuada  diretamente  no  controlador  do  

domínio  onde  reside  o  objeto  que  se  pretende  pesquisar,  acedendo  a  todos  os   atributos  do  mesmo.

Os  atributos  que  fazem  parte  do  GC  são  membro  do  PAS  – partial atribute  set.   Utilizando  ferramentas  apropriadas,  é  possível  gerir  os  atributos  do  PAS.

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(33)

FUNDAMENTOS  DO  ACTIVE DIRECTORY

BUILDING BLOCKS

Grupos

• O  AD  suporta  três  grupos  distintos:  domínio  local,  domínio  global  e  universal.

• Os  grupos  em  cada  um  destes  tipos,  operam  de  modo  ligeiramente  diferente,   dependendo  do  domínio  e  do  nível  funcional  da  floresta.

• Cada  um  dos  três  tipos  de  grupos  pode  ser  caracterizado  em  duas  vertentes: • distribuição

• segurança

• Caso  o  tipo  seja  distribuição,  o  SID  do  grupo  não  é  adicionado  ao  token de  

segurança  do  utilizador  durante  o  login e,  como  tal,  não  pode  ser  utilizado  para   questões  de  segurança.

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(34)

FUNDAMENTOS  DO  ACTIVE DIRECTORY

BUILDING BLOCKS

Grupos

• Os  grupos  de  distribuição  são  tipicamente  utilizados  para  o  envio  de  mensagens,   sendo  no  entanto  possível  utilizar  os  mesmos  para  outros  mecanismos  de  

segurança  que  não  baseados  em  Windows.

• O  Microsoft  Exchange  representa  o  exemplo  de  uma  lista  de  distribuição  com   grupos  de  distribuição  do  Active  Directory.

• Por  outro  lado,  os  grupos  de  segurança  são  enumerados  no  login e  os  SID  de   todos  os  grupos  a  que  o  utilizador  pertence  são  adicionados  ao  token de  

segurança.

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(35)

OUTLINE

UMA  BREVE  HISTÓRIA  DOS  DIRETÓRIOS

FUNDAMENTOS  DO  ACTIVE DIRECTORY

• COMO  SÃO  GUARDADOS  E  IDENTIFICADOS  OS  OBJETOS • IDENTIFICAÇÃO  ÚNICA  DE  OBJETOS

• BUILDING BLOCKS

IMPLEMENTAÇÃO  DO  AD  NO  AZURE

TRABALHO  LABORATORIAL  4

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(36)

IMPLEMENTAÇÃO DO  AD  NO  AZURE

• Como  vimos  anteriormente,  cada  árvore  de  domínio  deverá,  tipicamente,  estar   associada  a  um  verdadeiro  domínio  DNS.

• Desse  modo,  não  faz  sentido  atribuir  domínios  no  AD  que  não  sejam  reais.

• Os  seguintes  PPTs apresentam  os  passos  base  necessários  à  implementação  de   um  servidor  de  Active  Directory,  sobre  DNS  e  rede  virtual  no  Azure.

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(37)

IMPLEMENTAÇÃO DO  AD  NO  AZURE

1. Criar  um  servidor  de  DNS

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(38)

IMPLEMENTAÇÃO DO  AD  NO  AZURE

2. De  seguida,  deverá  ser  criada  uma  rede  virtual,  ligada  ao  servidor  DNS  criado  no   passo  anterior.

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(39)

IMPLEMENTAÇÃO DO  AD  NO  AZURE

3. Como  terceiro  passo,  deverá  criar-­‐se  uma  nova  máquina  virtual  Windows  Server   2012  R2  Database (A1)

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(40)

IMPLEMENTAÇÃO DO  AD  NO  AZURE

4. Na  criação  dessa  máquina  deverá  seleccionar-­‐se a  rede  virtual  criada  no  segundo   passo.

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(41)

IMPLEMENTAÇÃO DO  AD  NO  AZURE

5. Após  criada  a  máquina,  deve-­‐se  fazer  o  attach de  um  disco  de  10GB.

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(42)

IMPLEMENTAÇÃO DO  AD  NO  AZURE

6. Criado  o  disco,  estabelece-­‐se  a  ligação  RDP  à  máquina  e  formata-­‐se  o  disco  novo.

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(43)

IMPLEMENTAÇÃO DO  AD  NO  AZURE

7. No  Server  Manager  do  Windows  2012,  clicar  em  Add Roles  and Features e   adicionar  o  Active  Directory Domain  Services.

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(44)

IMPLEMENTAÇÃO DO  AD  NO  AZURE

7. No  Server  Manager  do  Windows  2012,  clicar  em  Add Roles  and Features e   adicionar  o  Active  Directory Domain  Services.

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(45)

IMPLEMENTAÇÃO DO  AD  NO  AZURE

8. No  final  da  instalação,  não  clicar  em  Close.  Em  vez  disso,  seleccionar Promote

this server  to a  domain controller.

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(46)

IMPLEMENTAÇÃO DO  AD  NO  AZURE

9. Aberto  o  wizard seleccionar a  opção  Add a  new  forest e  atribuir  um  nome  de   domínio.

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(47)

IMPLEMENTAÇÃO DO  AD  NO  AZURE

10. De  seguinte,  definir  uma  password de  recuperação.

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(48)

IMPLEMENTAÇÃO DO  AD  NO  AZURE

11. Apontar  as  diretorias  de  base  de  dados,  logs  e  SYSVOL  para  o  disco  criado  em  5.

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(49)

IMPLEMENTAÇÃO DO  AD  NO  AZURE

12. Ver  o  script  de  criação  e  guardar  o  mesmo,  por  segurança.

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(50)

IMPLEMENTAÇÃO DO  AD  NO  AZURE

13. Instalar  o  Active  Directory (ignore  os  warnings).

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(51)

IMPLEMENTAÇÃO DO  AD  NO  AZURE

• Após  a  instalação  do  AD,  o  servidor  deve  reiniciar.

• Uma  vez  novamente  em  execução,  o  utilizador  pode  gerir  o  AD  a  partir  de   diversas  ferramentas.

Aconselha-­‐se  o  uso  do  Active  Directory Administrative Center,  para  efetuar  uma   gestão  efetiva  do  serviço  de  diretório.

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(52)

OUTLINE

UMA  BREVE  HISTÓRIA  DOS  DIRETÓRIOS

FUNDAMENTOS  DO  ACTIVE DIRECTORY

• COMO  SÃO  GUARDADOS  E  IDENTIFICADOS  OS  OBJETOS • IDENTIFICAÇÃO  ÚNICA  DE  OBJETOS

• BUILDING BLOCKS

IMPLEMENTAÇÃO  DO  AD  NO  AZURE

TRABALHO  LABORATORIAL  4

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(53)

TRABALHO  LABORATORIAL  4

Pretende-­‐se  com  este  trabalho  a  escrita  de  um  tutorial sobre  a  instalação,   configuração  e  utilização  de  uma  floresta  Active  Directory,  com  o  domínio  

autonomarulez.com,  em  Windows  Server  2012  R2  no  Azure.

No  serviço  Active  Directory criado,  os  alunos  deverão  ainda  criar  um  grupo  

“Alunos” e  adicionar  ao  mesmo,  tantos  utilizadores,  quanto  os  elementos  que  

compõe  o  grupo.  Por  exemplo,  se  o  grupo  é  constituído,  pelo  Francisco  Silva,  pelo   António  Silva  e  pelo  Manuel  Silva,  terão  de  criar  esses  três  utilizadores,  

adicionando-­‐os  ao  grupo  de  Alunos  do  AD.

• Para  tal,  os  alunos  deverão  em  primeiro  lugar  implementar  o  serviço  de  diretórios   pedido,  numa  nova  máquina  virtual,  Windows  Server  2012  R2  Database.  Em  

segundo  lugar,  deverão  descrever  e  apresentar  todo  o  processo  de  criação.

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(54)

TRABALHO  LABORATORIAL  4

A  máquina  virtual  deverá  ser  assente  numa  rede  virtual  privada  (sub-­‐rede  

10.0.0.0/23)  e  num  servidor  de  DNS  próprio (IP:10.0.0.4),  ambos  previamente   criados  também  no  Azure.

• O  trabalho,  a  ser  realizado  em  grupos  de  2  ou  3  alunos,  deverá  ser  entregue  até   dia  30/05.  

• Na  entrega  deverá  constar  somente  o  tutorial  sobre  o  processo  desenvolvido.  Na   base  do  tutorial  deverão  estar  os  diversos  printscreens recolhidos  durante  os  

diferentes  processos.  Em  cada  printscreen,  os  alunos  deverão  ter  o  cuidado  de   identificar  a  sua  máquina  de  forma  não  violável.  

GS

R

RI CA RD O  M EN DA O  S ILV A                                                         RM SI LV A   AT  U AL  D O T   PT

(55)

RMSILVA  AT  UAL  DOT  PT

THE  CUTTING  EDGE  COURSE

GS

R

Capítulo I e  II:  Brian  Desmond,  Joe  Richards,  Robbie  Allen,  and  Alistair  G.   Lowe-­‐Norris.  2013.  Active  Directory:  Designing,  Deploying,  and  Running  

Referências

Documentos relacionados

Carta Encíclica, Laudato Si: Sobre o Cuidado da Casa Comum, São Paulo: Paulinas, 2015.. Bula de proclamação do Jubileu extraordinário da

Nota: Para obter mais informações sobre de configurar o conversor ascendente integrado, refira o ajuste do conversor ascendente integrado em configurar a relação do cabo Cisco para

libras ou pedagogia com especialização e proficiência em libras 40h 3 Imediato 0821FLET03 FLET Curso de Letras - Língua e Literatura Portuguesa. Estudos literários

__________ tem como objetivo prestar informações ao INSS sobre a efetiva exposição do trabalhador a agentes nocivos, quais foram as atividades realizadas por período

No final dos anos 1990, a constituição de um grupo de pesquisa sobre História Social da Amazônia colonial e imperial, reunindo pesquisadores como Rosa Acevedo Marin,

No Piauí de cada 100 crianças que nascem 78 morrem antes de completar 8 anos de idade No Piauí. de cada 100 crianças

[1] Roteiro da disciplina disponibilizado pelo docente, Sebenta de Instrumentação e Medidas - Apontamentos das aulas teóricas, ISE/UALg. [2] Aurélio Campilho,

O livro que ora apresen- tamos aos leitores, muito mais completo, é a versão integral daquela biografia, abrangendo as três seções em que se divide a obra, incluindo a extraordinária