o que é o Active Directory e como funciona?O Active Directory (AD) é o serviço de diretório proprietário da Microsoft. Ele é executado no Windows Server e permite que os administradores gerenciem permissões e acessem recursos de rede.
o Active Directory armazena dados como objetos. Um objeto é um único elemento, como um usuário, grupo, aplicativo ou dispositivo, como uma impressora. Os objetos são normalmente definidos como recursos, como impressoras ou computadores, ou diretores de segurança, como usuários ou grupos.
o Active Directory categoriza objetos de diretório por nome e atributos. Por exemplo, o nome de um usuário pode incluir a cadeia de nomes, juntamente com informações associadas ao usuário, como senhas e Chaves de Shell seguras.
O principal serviço no Active Directory Domain Services (AD DS), que armazena informações de diretório e lida com a interação do usuário com o domínio. O AD DS verifica o acesso quando um usuário faz login em um dispositivo ou tenta se conectar a um servidor em uma rede. O AD DS controla quais usuários têm acesso a cada recurso, bem como políticas de grupo. Por exemplo, um administrador normalmente tem um nível diferente de acesso aos dados do que um usuário final.
outros produtos do sistema operacional Microsoft e Windows (SO), como o Exchange Server e o SharePoint Server, dependem do AD DS para fornecer acesso a recursos. O servidor que hospeda o AD DS é o controlador de domínio.
serviços do Active Directory
vários serviços diferentes compreendem o Active Directory. O serviço principal é o Domain Services, mas o Active Directory também inclui Lightweight Directory Services (AD LDS), Lightweight Directory Access Protocol (LDAP), Certificate Services ou AD CS, Federation Services (AD FS) e Rights Management Services (AD RMS). Cada um desses outros serviços expande os recursos de gerenciamento de diretório do produto.
- Lightweight Directory Services tem a mesma base de código do AD DS, compartilhando funcionalidades semelhantes, como a interface do programa de aplicativos. O AD LDS, no entanto, pode ser executado em várias instâncias em um servidor e contém dados de diretório em um armazenamento de dados usando o Lightweight Directory Access Protocol.
- Lightweight Directory Access Protocol é um protocolo de aplicativo usado para acessar e manter Serviços de diretório em uma rede. O LDAP armazena objetos, como nomes de usuário e senhas, em serviços de diretório, como o Active Directory, e compartilha esses dados de objeto em toda a rede.
- os Serviços de certificados geram, gerenciam e compartilham certificados. Um certificado usa criptografia para permitir que um usuário troque informações pela internet com segurança com uma chave pública.
- os Serviços de Federação do Active Directory autenticam o acesso do usuário a vários aplicativos-mesmo em redes diferentes-usando logon único (SSO). Como o nome indica, o SSO requer apenas que o usuário faça login uma vez, em vez de usar várias chaves de autenticação dedicadas para cada serviço.
- Serviços de gestão de direitos controlam os direitos e a gestão da informação. O AD RMS criptografa conteúdo, como e-mail ou documentos do Microsoft Word, em um servidor para limitar o acesso.
principais recursos no Active Directory Domain Services
o Active Directory Domain Services usa uma estrutura de layout em camadas que consiste em domínios, árvores e florestas para coordenar elementos em rede.
os domínios são os menores dos níveis principais, enquanto as florestas são os maiores. Objetos diferentes, como usuários e dispositivos, que compartilham o mesmo banco de dados estarão no mesmo domínio. Uma árvore é um ou mais domínios agrupados com relações de confiança hierárquicas. Uma floresta é um grupo de várias árvores. As florestas fornecem limites de segurança, enquanto os domínios-que compartilham um banco de dados comum-podem ser gerenciados para configurações como autenticação e criptografia.
- um domínio é um grupo de objetos, como usuários ou dispositivos, que compartilham o mesmo banco de dados de anúncios. Os domínios têm um sistema de nomes de domínio
- uma árvore é um ou mais domínios agrupados. A estrutura da árvore usa um namespace contíguo para reunir a coleção de domínios em uma hierarquia lógica. As árvores podem ser vistas como relações de confiança em que uma conexão Segura, ou confiança, é compartilhada entre dois domínios. Vários domínios podem ser confiáveis onde um domínio pode confiar em um segundo e o segundo domínio pode confiar em um terceiro. Devido à natureza hierárquica dessa configuração, o primeiro domínio pode confiar implicitamente no terceiro domínio sem precisar de confiança explícita.
- uma floresta é um grupo de várias árvores. Uma floresta consiste em catálogos compartilhados, esquemas de diretório, informações de aplicativos e configurações de domínio. O esquema define a classe e os atributos de um objeto em uma floresta. Além disso, os servidores de catálogo global fornecem uma lista de todos os objetos em uma floresta. Segundo a Microsoft, a floresta é o limite de segurança do Active Directory.
- Unidades Organizacionais (OUs) organizam usuários, grupos e dispositivos. Cada domínio pode conter sua própria UO. No entanto, OUs não pode ter namespaces separados, pois cada usuário ou objeto em um domínio deve ser exclusivo. Por exemplo, uma conta de usuário com o mesmo nome de usuário não pode ser criada.
- os contêineres são semelhantes aos OUs, mas os objetos de Diretiva de grupo não podem ser aplicados ou vinculados a objetos de contêiner.
terminologia de confiança
o Active Directory depende de trusts para moderar os direitos de acesso dos recursos entre domínios. Existem vários tipos diferentes de trusts:
- uma confiança unidirecional é quando um primeiro domínio permite privilégios de acesso aos usuários em um segundo domínio. No entanto, o segundo domínio não permite o acesso aos usuários no primeiro domínio.
- uma confiança bidirecional é quando há dois domínios e cada domínio permite o acesso a usuários do outro domínio.
- um domínio confiável é um único domínio que permite o acesso do usuário a outro domínio, que é chamado de domínio confiável.
- uma confiança transitiva pode se estender além de dois domínios e permitir o acesso a outros domínios confiáveis dentro de uma floresta.
- uma confiança intransitiva é uma confiança unidirecional limitada a dois domínios.
- uma confiança explícita é uma confiança unidirecional e não transitiva criada por um administrador de rede.
- uma confiança de link cruzado é um tipo de confiança explícita. Os trusts de links cruzados ocorrem entre domínios dentro de 1) a mesma árvore, sem relação pai-filho entre os dois domínios, ou 2) árvores diferentes.
- um trust florestal se aplica a domínios dentro de toda a floresta e pode ser unidirecional, bidirecional ou transitivo.
- um atalho junta dois domínios que pertencem a árvores separadas. Os atalhos podem ser unidirecionais, bidirecionais ou transitivos.
- um reino é uma confiança que é transitiva, intransitiva, unidirecional ou bidirecional.
- uma confiança externa é uma confiança que vincula domínios em florestas separadas ou domínios que não são AD. Os trusts externos podem ser não-transitivos, unidirecionais ou bidirecionais.
- uma confiança de gerenciamento de acesso privado (PAM) é uma confiança unidirecional criada pelo Microsoft Identity Manager entre uma floresta de produção e uma floresta de bastiões.
história e desenvolvimento do Active Directory
a Microsoft ofereceu uma prévia do Active Directory em 1999 e lançou-o um ano depois com o Windows 2000 Server. A Microsoft continuou a desenvolver novos recursos a cada versão sucessiva do Windows Server.
O Windows Server 2003 incluiu uma atualização notável para adicionar florestas e a capacidade de editar e alterar a posição dos domínios dentro das florestas. Os domínios no Windows Server 2000 não podiam suportar atualizações de anúncios mais recentes em execução no Server 2003.
o Windows Server 2008 introduziu o AD FS. Além disso, a Microsoft rebatizou o diretório para gerenciamento de domínio como AD DS, e o AD tornou-se um termo genérico para os serviços baseados em diretório que suportava.O Windows Server 2016 atualizou o AD DS para melhorar a segurança de anúncios e migrar ambientes de anúncios para ambientes de nuvem ou nuvem híbrida. As atualizações de segurança incluíram a adição de PAM.
o PAM monitorou o acesso a um objeto, o tipo de acesso concedido e quais ações o usuário tomou. Pam adicionou Bastião ad florestas para fornecer um ambiente florestal seguro e isolado adicional. O Windows Server 2016 encerrou o suporte para dispositivos no Windows Server 2003.Em dezembro de 2016, A Microsoft lançou o Azure AD Connect para ingressar em um sistema local do Active Directory com o Azure Active Directory (Azure AD) para habilitar o SSO para os Serviços em nuvem da Microsoft, como o Office 365. O Azure AD Connect funciona com sistemas que executam o Windows Server 2008, O Windows Server 2012, O Windows Server 2016 e o Windows Server 2019.
domínios vs. grupos de trabalho
o grupo de trabalho é o termo da Microsoft para máquinas Windows conectadas por uma rede peer-to-peer. Grupos de trabalho são outra unidade de organização para computadores Windows em redes. Os grupos de trabalho permitem que essas máquinas compartilhem arquivos, acesso à internet, impressoras e outros recursos pela rede. A rede Peer-to-peer elimina a necessidade de um servidor para Autenticação. Existem várias diferenças entre domínios e grupos de trabalho:
- domínios, ao contrário dos grupos de trabalho, podem hospedar computadores de diferentes redes locais.
- domínios podem ser usados para hospedar muito mais computadores do que grupos de trabalho. Os domínios podem incluir milhares de computadores, ao contrário dos grupos de trabalho, que normalmente têm um limite superior próximo a 20.
- em domínios, pelo menos um servidor é um computador, que é usado para controlar permissões e recursos de segurança para cada computador dentro do domínio. Em grupos de trabalho, não há servidor e os computadores são todos pares.
- os usuários de domínio normalmente exigem identificadores de segurança, como logins e senhas, ao contrário dos grupos de trabalho.
Principais concorrentes para o Active Directory
Outros serviços de diretório no mercado que fornecem funcionalidade semelhante para ANÚNCIOS incluem Red Hat Directory Server, Apache Directory e OpenLDAP.O Red Hat Directory Server gerencia o acesso do usuário a vários sistemas em ambientes Unix. Semelhante ao AD, O Red Hat Directory Server inclui ID de usuário e autenticação baseada em certificado para restringir o acesso aos dados no diretório.
Apache Directory é um projeto de código aberto que é executado em Java e opera em qualquer servidor LDAP, incluindo sistemas no Windows, macOS e Linux. O diretório Apache inclui um navegador de esquema e um editor e navegador LDAP. O diretório Apache suporta plugins Eclipse.
OpenLDAP é um diretório LDAP de código aberto baseado no Windows. O OpenLDAP permite que os usuários naveguem, pesquisem e editem objetos em um servidor LDAP. Os recursos do OpenLDAP incluem copiar, mover e excluir árvores no diretório, bem como ativar a navegação de esquema, o gerenciamento de senhas e o suporte ao LDAP SSL (Secure Sockets Layer).
leia esta visão geral para saber mais sobre o Active Directory basics.
Saiba quais técnicas podem ser usadas para solucionar problemas comuns no Active Directory e dicas sobre solução de problemas de replicação.