Active Directory - Implementando um
domínio 2003
Abril/2007
Cristiano Paiva Alves
cristiano.paiva@gmail.com
Resumo
O Active Directory surgiu da necessidade de se ter um único diretório, ou seja, ao invés do usuário ter uma senha para acessar o sistema principal da empresa, uma senha para ler seus e-mails, uma senha para se logar no computador, e varias outras senhas, com a utilização do AD, os usuários poderão ter apenas uma senha para acessar todos os recursos disponíveis na rede.Podemos definir um diretório como sendo um banco de dados que armazena as informações dos usuários.
1.Introdução
O Active Directory surgiu com Windows 2000 Server. Objetos como usuários, grupos, membros dos grupos, senhas, contas de computadores, relações de confiança, informações sobre domínio, unidades organizacionais, etc., ficam armazenados no banco de dados do AD. Para que os usuários possam acessar os recursos da rede, estes deverão efetuar o logon.Quando o usuário faz o logon o AD verifica se as informações fornecidas pelos usuários são validas e faz a autenticação.
2.Elementos de um servidor Active Directory:
2.1Domínio
Á semelhança de um grupo de trabalho (Workgroup), um domínio é uma organização lógica de maquinas e recursos. Ele se caracteriza pelo fato de a informação acerca dos recursos pertencentes a essa organização lógica (contas de usuários, máquinas, serviços ativos) permanecer centralizada, em uma base de dados, em servidores que terá um papel específico: os controladores de domínio. Por meio de uma identidade (conta) de usuário válida, um usuário pode ingressar em um domínio a partir de qualquer máquina da rede ligada a esse domínio, e obter acesso a recursos da rede para os quais o
administrador do domínio lhe tenha concedido permissão. Recomenda-se a utilização de domínios em redes cuja gestão de contas e segurança deva ser centralizada e assegurada. Na terminologia do Windows 2000, os domínios são conhecidos como DCs(Domain Controllers).
2.2Workgroup
A inclusão de uma máquina em um grupo de trabalho local ou Workgroup determina que ela possa ser utilizada por um grupo de usuários, que deve requisitar uma autorização local (na próxima máquina) para ter acesso ao sistema operacional. Assim para utilizar dois sistemas ou estações de um Workgroup, um mesmo individuo deve dispor de duas contas de usuário, uma em cada máquina. Isso é necessário porque os bancos de dados de usuários de Workgroup são armazenados localmente na estação, e não em um servidor centralizado, como o DC. Cada usuário e responsável pelos recursos compartilhados em sua máquina, bem como pela segurança do acesso a esses recursos, uma vez, que tais garantias não são gerenciadas por uma administração central. Portanto, esse tio de configuração é recomendado apenas para redes com poucas máquinas, e em que a segurança e a administração centralizada não sejam fatores importantes. No Windows 2003 Server com Active Directory, os grupos de trabalho são definidos como grupos de usuários, agrupados conforme um critério à escolha do administrador. Active Directory Workgroup também pode ser reconhecidos e importados a partir de máquinas ou estações de trabalho (incluindo impressoras de rede, impressoras compartilhadas e volume de rede) existentes em redes compostas de estações Windows XP ou Linux.
2.3Tree
O domínio inicial do Active Directory, que gerencia toda a estrutura de serviços, e denominado, na organização lógica do Active Directory, como tree root domain.Dependendo das necessidades organizacionais, maid domínios podem ser adicionados a essa estrutura, criando uma árvore formada por servidores de domínios ou domínios .Uma tree(ou árvore de domínios)consiste de uma organização de domínios Windows 2003 que compartilham um nome e relações de confiança bidirecionais, e que não precisam ser necessariamente fixas.Uma vez criado o domínio com função de tree root domain, é possível adicionar, à estrutura de serviços, child domains(domínios-filhos).Nessa ocasião, automaticamente são criados relações de confiança entre domínios-filhos e o parent domain, envolvendo o acesso a informação sobre contas de usuários, serviços e grupos de trabalho.
2.4 Forest
O termo forest designa o conjunto de uma ou mais trees.O primeiro domínio da estrutura lógica de domínios windows 2003 cria uma tree é uma forest.Esta última pode ser acrescida de outros domínios, assim como novas trees.Entre o domínio de topo da
tree e o domínio de topo da forest, cria-se uma relação de confiança bidirecional e transitiva,de modo que todos os domínios de uma forest confiem uns nos outros.
3.Implementação
Nesta seção, vamos implementar a instalação do Active Diretory e a criação do domínio.
3.1 Ambiente usado
O ambiente usado para instalação do AD foi um computador Pentium IV de 2.4 GHz com 256 MB de memória RAM e um Disco rígido de 80 GB. O sistema operacional usado foi o Windows 2003 Server Standard Edition.
3.2 Instalação do Ad e criação do domínio
O primeiro passo vá ate o menu iniciar,executar, na linha a seguir digite dcpromo e clique em ok. .
A janela do “Assistente para instalação do Active Directory” irá aparecer. Clique no botão “Avançar”.
Na janela de “Compatibilidade de sistema operacional” leia os requisitos mínimos dos clientes do AD. A seguir, clique no botão “Avançar”.
Na janela de “Tipo de controlador de domínio”, selecione a opção “Controlador de domínio para um novo domínio” e clique no botão “Avançar”.
Na janela de “Criar novo domínio”, selecione a opção “Domínio em uma nova floresta” e clique no botão “Avançar”.
A janela de “Novo nome de domínio” é a opção mais importante na criação do AD. Como todo o sistema
do AD é baseado no DNS, a criação do nome de domínio irá afetar toda a operação da rede.
Entre com o nome DNS completo do domínio, por exemplo: contoso.com.br
Clique no botão “Avançar”.
Este parte poderá demorar alguns minutos, pois o sistema irá procurar pelo servidor DNS e verificar se o nome já existe.
Na janela de “Nome do domínio NetBIOS”, aceite a opção padrão (que é o primeiro nome do domínio DNS) e clique no botão “Avançar”.
Na janela de “Pastas do banco de dados e log”, lembre-se que a partição deverá ser NTFS e você somente deverá alterar os caminhos padrões por motivos de desempenho.
O caminho “\Windows\NTDS” é o local onde serão armazenados os dados do AD.
Aceite as opções padrões e clique no botão “Avançar”.
Na janela de “Volume de sistema compartilhado”, a partição também deverá ser NTFS e somente deverá ser alterado caso haja problemas de desempenho.
O caminho “\Windows\SYSVOL” é o local onde serão armazenados as GPOs e scripts do AD e esta pasta
é replicada para todos os outros DC.
Aceite a opção padrão e clique no botão “Avançar”.
Se o servidor DNS não estiver ativo ou configurado corretamente, você verá o seguinte aviso:
Em geral, o primeiro DC do AD também é o servidor DNS (que é o caso do nosso artigo). Lembre-se que o servidor DNS requerido pelo AD deve aceitar registro SRVs e atualizações dinâmicas.
Portanto, o mais recomendável é utilizar o servidor DNS do Windows Server 2003 e deixar que o assistente faça a instalação e configuração do mesmo.
Selecione a opção “Instalar e configurar o servidor DNS neste computador e definir este computador para usar o servidor DNS como seu servidor DNS preferencial” e clique no botão “Avançar”.
Na janela de “Permissões”, selecione a opção “Permissões compatíveis somente com os sistemas operacionais de servidor Windows 2000 ou Windows Server 2003” e clique no botão “Avançar”.
Esta opção somente deverá ser alterada caso você tenha DCs rodando em plataforma Windows NT, o que não é o caso do nosso artigo.
Na janela de senha, digite e confirme a senha de administrador do modo de restauração; clique no botão “Avançar”.
Esta senha é importante, pois ela não é a mesma senha do administrador do DC e deve ser usada quando houver problemas no DC ou quando o DC for removido do computador.
Na janela de “Resumo”, verifique as opções selecionadas. Caso as opções estejam corretas, clique no botão “Avançar”.