Windows 2003 Active Directory

• Domínio
• Site
• Domínio Vs. Site
• Unidade Organizacional
• Árvore
• Floresta
• Controlador de domínio
• Active Directory
• Esquema
• Catálogo Global

Domínio (domain)

É um conjunto de computadores, utilizadores e grupos definidos numa base de dados comum.
Um domínio tem obrigatoriamente pelo menos um controlador de domínio  (DC - Domain Controler) mas pode ter mais.

Os recrusos do domínio partilham:

• uma base de dados comum (base de dados do Active Directory);
• políticas de segurança;
• relações de segurança com outros domínios.

Site

É um conjunto de máquinas interligadas por redes fiáveis e rápidas, para as quais é configurado o acesso e replicação do Active Directory, por forma a retirar o maior proveito da eficiência e topologia da rede física.

Site representa a estrutura física da rede de comunicações inerente ao sistema Windows Server 2000/2003.

Domínio Vs. Site

Domínio representa a estrutura lógica do sistema, pelo que se adapta perfeitamente à estrutura organizacional da entidade onde é implementado, enquanto o Site representa a estrutura de rede que está subjacente ao sistema de comunicações.

O objectivo do Site é optimizar as comunicações, enquanto o objectivo do Domínio é facilitar a gestão do sistema.

Um Domínio pode estar disperso por vários Sites:

 e um Site pode incluir vários domínios:

Unidade Organizacional

Unidade Organizacional (Organizational Unit, OU) é um contentor lógico onde utilizadores, grupos e computadores podem ser colocados para mais fácil gestão, nomeadamente de definição e gestão de políticas de grupo.

Unidades organizacionais permitem ter praticamente todas as vantagens de (sub-)domínios, mas sem a sobrecarga de equipamento e de gestão de um novo servidor de domínio.

Unidades organizacionais podem adquirir a forma de organização da entidade real (ex. empresa, escola), podendo portanto formar uma hierarquia de OUs.

As unidade organizacionais podem ser definidas em Domínios.

Árvore (tree)

Um domínio composto por sub-domínios denomina-se árvore (tree).

Os sub-domínios são eles próprios um domínio, com todas as características próprias.

Entre um domínio e sub-domínios existe uma relação de confiança bidireccional e transitiva.

Floresta (forest)

É um conjunto de domínios que partilham:

• Esquema (numa floresta, existe um único controlador de domínio que é responsável pela gestão do esquema, denominado Schema Master);
• Catálogo global;
• Informação de replicação (configuração).

Na mesma floresta, os domínios são interligados por relações de confiança bidireccionais e transitivas.

(...)

Controlador de domínio

Um controlador de domínio é um servidor que:

• disponibiliza o serviço Active Directory;
• detêm uma cópia em modo de leitura e escrita da base de dados do Active Directory;
• participa na replicação da base de dados;
• controla o acesso aos recursos do domínio ou floresta em que participa.

Active Directory

Um directório é uma fonte de informação que contém informação acerca dos recursos dum sistema, tal como utilizadores, servidores e suas funcionalidades (papeis), impressoras, bases de dados, etc. Os directórios são muito usados em sistemas distribuídos.

Um serviço de directórios é composto por:

• Informação sobre recursos que deve ser guardada, gerida e disponibilizada no sistema;
• Software que guarda, disponibiliza e ajuda na gestão dessa informação.

O Active Directory da Microsoft e o LDAP são dois sistemas de directórios.

O Active Directory é um sistema LDAP utilizado com o intuito de gerir a informação de domínios, árvores e florestas descritos anteriormente.
Pelas suas características de replicação bem como pelos mecanismos de relações de segurança entre domínos, árvores e florestas implementados no Windows 2000 e 2003, o Active Directory permite que os recursos de rede sejam geridos de forma hierarquica e centralizada.

O serviço Active Directory é composto pelos seguintes elementos:

• Esquema (schema), correspondente à descrição do conteúdo e estrutura da informação do sistema. Nomeadamente:
  • Classes de objectos;
  • Atributos obrigatórios e opcionais das classes;
  • Hierarquia entre instâncias das classes;
  • Limites (cardinalidade e valor) sobre as instâncias das classes;
  • (...)
• Catálogo global (global catalog) contém uma cópia completa dos objectos do domínio e uma cópia parcial dos objectos da floresta. O catálogo global é detido por um ou mais domain controllers na floresta, mas nem todos os domain controllers detêm (nem devem deter) o catálogo global. A informação presente no catálogo global inclui fundamentalmente:
  • Atributos usados mais frequentemente em operações de procura dos objectos;
  • Atributos necessários para localizar a cópia completa do objecto;
• Query e mecanismo de index, que possibilita a publicação dos objectos e suas propriedades, bem como procurá-los e encontrá-los de forma eficiente;
• Serviço de replicação de informação, que permite que qualquer domain controller tenha sempre uma cópia actualizada de toda a informação de directório sobre o domínio a que pertence. Todos os domain controllers num domínio participam no processo de replicação.

Esquema (schema)

É o conjunto de definições que define o tipo e propriedades dos objectos a armazenar para um floresta. Na realidade não são os objectos que são armazenados, mas a informação que os representa.

Para cada classe (tipo) de objecto, o esquema define:

• nome da classe LDAP;
• nome da classe (versão utilizador);
• tipo da classe:
  • estructural: para declarar (instanciar) objectos;
  • abstracta: usada para derivar novas classes;
  • auxiliar: usada para declarar listas de atributos que podem ser incluidos em classes estruturais e abstractas;
• propriedades (atributos) obrigatórias;
• propriedades (atributos) opcionais;
• super classes, que determina em que contexto ("dentro de que classes") objectos desta classe podem ser definidos (instanciados).

Para cada propriedade são definidos:

• nome da classe LDAP;
• nome da classe (versão utilizador);
• regras de sintaxe (ex. IPv4, IPv5);
• restrições de valores (multivalor, mínimo, máximo, etc.);
• tipo de replicação no catálogo global;
• tipo de indexação e procura (se sim e como são indexados os valores, para permitir pesquisas mais rápidas e eficientes).

Ferramenta: schmmgmt.msc (Se não arrancar, deve-se registar esse snap-in da MMC)

Catálogo global (global catalog)

Catálogo global é o conjunto de informação disponível por replicação parcial em todos os controladores de domínio, que permite que utilizadores e máquinas em qualquer ponto da floresta, procurem e encontrem a informação desejada.

O conjunto de informação disponível em cada controlador de domínio inclui informação de todos os objectos da floresta, nomeadamente:

• os atributos mais utilizados nas procuras;
• atributos que são necessários para a localização de toda a informação sobre o obejcto.

Última actualização: 2005-12-15