Autor: Jlio Battisti www.juliobattisti.com.

br

Tutorial de Active Directory Parte 4

Introduo
Prezados leitores, esta a quarta parte de uma srie de tutoriais sobre o Active Directory. O
Active Directory foi a grande novidade introduzida no Windows 2000 Server e que tambm faz
parte do Windows Server 2003. Mais do que fazer parte, o Active Directory o elemento
principal de uma rede baseada no Windows 2000 Server ou Windows Server 2003, a partir do
qual possvel criar redes de grandes propores, como por exemplo a rede da empresa onde
eu trabalho, a qual tem mais de 20 mil estaes de trabalho em rede. Toda a rede baseada
no Windows 2000 Server e no Active Directory. Nesta srie de tutoriais, mostrarei ao amigo
leitor o que exatamente o Active Directory, quais as suas funes, quais os elementos que
compem o Active Directory e qual a utilizao de Cada um.

Para um curso completo sobre o Active Directory,no Windows 2000 Server, consulte
o livro de minha autoria, indicado a seguir:
MANUAL DE ESTUDOS PARA O EXAME 70-217 752 pginas

Um curso completo de Active Directory no Windows 2000 Server

Para acessar o ndice do livro, use o endereo a seguir:

http://www.juliobattisti.com.br/livros/70-217.asp

Para comprar o livro, use o endereo a seguir:

http://www.juliobattisti.com.br/loja/vendalivro.asp?CODIGO=70217

Para um curso completo sobre o Active Directory,no Windows Server 2003, consulte
o livro de minha autoria, indicado a seguir:
WINDOWS Server 2003 CURSO COMPLETO 1568 pginas

Aprenda sobre o DNS, DHCP, WINS, RRAS, Active Directory, etc.

Para acessar o ndice do livro, use o endereo a seguir:

http://www.juliobattisti.com.br/livros/windows2003.asp

Para comprar o livro, use o endereo a seguir:

http://www.juliobattisti.com.br/loja/vendalivro.asp?CODIGO=WIN3K

Esta srie de tutoriais especialmente indicada para quem est iniciando os seus estudos
sobre o Active Directory e precisa entender, em detalhes, como funcionam as redes baseadas
no Windows 2000 Server ou Windows Server 2003 e no Active Directory.

Proibida a reproduo e utilizao em sala de aula, sem autorizao por escrito do autor
Autor: Jlio Battisti www.juliobattisti.com.br

Active Directory
Lembro de j ter escrito a seguinte frase, em um dos captulos do meu livro: Windows Server
2003 Curso Completo, 1568 pginas.

O Active Directory , sem dvidas, a mudana mais significativa includa no Windows 2000
Server e que tambm faz parte do Windows Server 2003.

Mas de uma maneira simples, o que o Active Directory?

O Active Directory o servio de diretrios do Windows Server 2003. Um Servio de

Diretrios um servio de rede, o qual identifica todos os recursos disponveis em uma rede,
mantendo informaes sobre estes dispositivos (contas de usurios, grupos, computadores,
recursos, polticas de segurana, etc) em um banco de dados e torna estes recursos
disponveis para usurios e aplicaes.

Pode parecer que o Active Directory , na verdade um banco de dados. Mas no s isso.
Alm do banco de dados com informaes sobre os elementos (tecnicamente conhecidos como
objetos) que compem o domnio, o Active Directory tambm disponibiliza uma srie de
servios que executam as seguintes funes:

Replicao entre os Controladores de domnio

Autenticao
Pesquisa de objetos na base de dados
Interface de programao para acesso aos objetos do diretrio

Pela descrio formal, possvel inferir que o Active Directory um servio de rede, no qual
ficam armazenadas informaes sobre dados dos usurios, impressoras, servidores, grupos de
usurios, computadores e polticas de segurana. Cada um desses elementos so conhecidos
como objetos.

O Active Directory alm de armazenar uma srie de informaes sobre os objetos disponveis
no domnio (contas de usurios, grupos de usurios, contas de servidores, contas de
computadores, polticas de segurana, etc), torna fcil para o administrador localizar e fazer
alteraes nos objetos existentes, bem como criar novos objetos ou excluir objetos que no
sejam mais necessrios. Em resumo, com o conjunto de servios oferecidos pelo Active
Directory, a administrao da rede torna-se uma tarefa bem mais gerencivel.

Os recursos de segurana so integrados com o Active Directory, atravs do mecanismo de

logon e autenticao. Todo usurio tem que fazer o logon (informar o seu nome de usurio e
senha), para ter acesso aos recursos da rede. Durante o logon o Active Directory verifica se as
informaes fornecidas pelo usurio esto corretas e ento libera o acesso aos recursos para
os quais o usurio tem permisso de acesso.

Os recursos disponveis atravs do Active Directory , so organizados de uma maneira

hierrquica, atravs do uso de Domnios. Uma rede na qual o Active Directory est instalado,
pode ser formada por um ou mais Domnios. Com a utilizao do Active Directory um usurio
somente precisa estar cadastrado em um nico Domnio, sendo que este usurio pode receber
permisses para acessar recursos em qualquer um dos Domnios, que compem a rvore de
domnios da empresa.

A utilizao do Active Directory simplifica, em muito, a administrao da rede, pois fornece um

local centralizado, atravs do qual todos os recursos da rede podem ser administrados. Todos
os Controladores de Domnio (DCs), possuem o Active Directory instalado. A Maneira de criar
um domnio instalar o Active Directory em um Member Server e informar que este o
primeiro Controlador de Domnio, de um novo domnio que est sendo criado. Depois de criado

Proibida a reproduo e utilizao em sala de aula, sem autorizao por escrito do autor
Autor: Jlio Battisti www.juliobattisti.com.br

o domnio (a parte prtica da criao de domnios ser vista nas ltimas partes desta srie de
tutoriais). voc pode criar DCs adicionais, simplesmente instalando o Active Directory em
outros servidores da rede. Ao instalar o Active Directory em um servidor, voc torna-o um DC.

O Active Directory utiliza o DNS (Domain Naming System) como servio de nomeao de
servidores e recursos e de resoluo de nomes. Por isso um dos pr-requisitos para que o
Active Directory possa ser instalado e funcionar perfeitamente que o DNS deve estar
instalado e corretamente configurado em um dos servidores da rede (no obrigatrio que o
DNS esteja instalado no mesmo servidor onde o Active Directory ser instalado).

Novidade: No Windows Server 2003, o assistente de instalao do Active Directory capaz de

instalar e configurar o DNS, caso ele no encontre um servidor DNS adequadamente
configurado na rede. Esta no chega a ser exatamente uma novidade. O que ocorre na prtica,
que o assistente de instalao do Active Directory, no Windows Server 2003, consegue na
maioria das vezes configurar o DNS corretamente, o que no ocorria no Windows 2000 Server.

O Agrupamento de objetos em um ou mais Domnios permite que a rede de computadores

reflita a organizao (quer seja a organizao fsica, quer seja a organizao lgica e
funcional) da sua empresa. Para que um usurio cadastrado em um domnio, possa receber
permisses para acessar recursos em outros domnios, o Windows Server 2003 cria e mantm,
automaticamente, relaes de confiana entre os diversos domnios. As relaes de confiana
so bidirecionais e transitivas. Isso significa se o Domnio A confia no Domnio B, o qual por
sua vez confia em um Domnio C, ento o Domnio A tambm confia no Domnio C. Isso
bastante diferente do que acontecia at o NT Server 4.0, uma vez que as relaes de confiana
tinham que ser criadas e mantidas manualmente pelos administradores dos domnios, uma a
uma. Era um trabalho e tanto, o que dificultava a implementao de relaes de confiana em
uma rede com muitos domnios.

Todo Domnio possui as seguintes caractersticas:

Todos os objetos de uma rede (contas de usurios, grupos, impressoras, polticas de

segurana, etc) fazem parte de um nico domnio.

Cada domnio somente armazena informaes sobre os objetos do prprio domnio.

Cada domnio possui suas prprias polticas de segurana.

Proibida a reproduo e utilizao em sala de aula, sem autorizao por escrito do autor
Autor: Jlio Battisti www.juliobattisti.com.br

rvore de domnios
Quando existem diversos domnios relacionados atravs de relaes de confiana, criadas e
mantidas automaticamente pelo Active Directory, temos uma rvore de domnios. Uma rvore
nada mais do que um agrupamento ou arranjo hierrquico de um ou mais domnios do
Windows Server 2003, os quais compartilham um espao de nome.

Vou explicar em detalhes o que significa a expresso compartilham um espao de nome.

Primeiramente observe a Figura a seguir:

Figura - Todos os domnios de uma rvore compartilham um espao de nomes.

Observe que exibida uma rvore com 7 domnios. Mas o que significa mesmo
compartilham um espao de nome?

Observe que o domnio inicial, tambm conhecido como domnio pai ou domnio root,
microsoft.com. Os domnios seguintes so: vendas.microsoft.com e suporte.microsoft.com.
Quando formada uma hierarquia de domnios, compartilhar um espao de nomes, significa
que os nomes dos objetos filho (de segundo nvel, por exemplo: vendas.microsoft.com e
suporte.microsoft.com), contm o nome do objeto pai (microsoft.com). Por exemplo,
vendas.microsoft.com contm microsoft.com. Descendo mais ainda na hierarquia, voc pode
observar que este fato continua verdadeiro. Por exemplo o objeto filho
sistemas.vendas.microsoft.com contm o nome do objeto Pai vendas.microsoft.com.

Com isso uma rvore de diretrios deste tipo forma um espao de nomes contnuo, onde o
nome do objeto filho sempre contm o nome do objeto pai.

Proibida a reproduo e utilizao em sala de aula, sem autorizao por escrito do autor
Autor: Jlio Battisti www.juliobattisti.com.br

Unidades Organizacionais
Voc pode ainda dividir um Domnio em Unidades Organizacionais. Uma Unidade
Organizacional uma diviso lgica do domnio, a qual pode ser utilizada para organizar os
objetos de um determinado domnio em um agrupamento lgico para efeitos de administrao.
Isso resolve uma srie de problemas que existiam em redes baseadas no NT Server 4.0.

No Windows NT Server 4.0 se um usurio fosse adicionado ao grupo Administradores (grupo

com poderes totais sobre qualquer recurso do domnio), ele poderia executar qualquer ao
em qualquer servidor do domnio. Com a utilizao de Unidades Organizacionais, possvel
restringir os direitos administrativos apenas a nvel da Unidade Organizacional, sem que com
isso o usurio tenha poderes sobre todos os demais objetos do Domnio.

Cada domnio pode implementar a sua hierarquia de Unidades Organizacionais,

independentemente dos demais domnios, isto , os diversos domnios que formam uma
rvore, no precisam ter a mesma estrutura hierrquica interna de unidades organizacionais.

No exemplo da Figura anterior, o domnio vendas.microsoft.com, poderia ter uma estrutura

hierrquica de Unidades Organizacionais, projetada para atender as necessidades do domnio
vendas. Essa estrutura poderia ser completamente diferente da estrutura de Unidades
Organizacionais do domnio suporte.microsoft.com, a qual seria projetada para atender as
necessidades do domnio suporte. Com isso tem-se uma flexibilidade bastante grande, de tal
forma que a rvore de domnios e a organizao dos domnios em uma hierarquia de Unidades
Organizacionais, possa atender perfeitamente as necessidades da empresa. A utilizao de
Unidades Organizacionais no obrigatria, porm altamente recomendada,conforme
mostrarei em alguns exemplos mais adiante.

Quando devo utilizar Unidades Organizacionais:

Voc quiser representar a estrutura e organizao da sua companhia em um domnio.

Sem a utilizao de Unidades Organizacionais, todas as contas de usurios so
mantidas e exibidas em uma nica lista, independente da localizao, departamento ou
funo do usurio.

Voc quiser delegar tarefas administrativas sem para isso ter que dar poderes
administrativos em todo o Domnio. Com o uso de Unidades Organizacionais, voc
pode dar permisses para um usurio somente a nvel da Unidade Organizacional.

Quiser facilitar e melhor acomodar alteraes na estrutura da sua companhia. Por

exemplo, muito mais fcil mover contas de usurios entre Unidades Organizacionais
do que entre domnios, embora no Windows Server 2003 seja bem mais fcil mover
uma conta de um domnio para outro, do que era no Windows 2000 Server.

Com a apresentao destes conceitos, voc j est habilitado a estudar os elementos do

Active Directory em mais detalhes. Mas este j assunto para as prximas partes desta srie
de tutoriais, onde passarei a tratar sobre os objetos do Active Directory.

Proibida a reproduo e utilizao em sala de aula, sem autorizao por escrito do autor
Autor: Jlio Battisti www.juliobattisti.com.br

Concluso
Nesta parte do tutorial apresentei mais alguns conceitos de fundamental importncia para
entender o Active Directory: tratei sobre o que o Active Directory e o que ele representa em
uma rede, falei sobre domnios, espao de nomes e Unidades Organizacionais. A partir da
prxima parte, passarei ao estudo dos elementos que compem o Active Directory,
denominados objetos do Active Directory.

IMPORTANTE: Se voc preferir, poder ter acesso a todas as partes do tutorial, j no formato
.PDF, com permisso de impresso. Esta srie de tutoriais, corresponde ao Mdulo 2, de um
dos seguintes e-books de minha autoria:

Manual de Estudos Para o Exame MCDST 70-271 892 pginas

7 Um Manual Completo Para o Exame 70-271

0 Um curso completo de Active Directory no Windows 2000 Server

- Para acessar o ndice do manual, use o endereo a seguir:

2 http://www.juliobattisti.com.br/cursos/70271/indice.asp

7 Para comprar o livro, use o endereo a seguir:

http://www.juliobattisti.com.br/ebooksdoautor/default.asp
1
Manual de Estudos Para o Exame MCSE 70-290 1020 pginas

7 Um Manual Completo Para o Exame 70-290

0 Um Curso de Administrao do Windows Server 2003

- Para acessar o ndice do manual, use o endereo a seguir:

2 http://www.juliobattisti.com.br/cursos/70290/indice.asp

9 Para comprar o livro, use o endereo a seguir:

http://www.juliobattisti.com.br/ebooksdoautor/default.asp
0

Proibida a reproduo e utilizao em sala de aula, sem autorizao por escrito do autor